Il y a currentlh trois partitions distinctes et indépendantes dans AWS.
Il y a aws
(celui communément appelé AWS), aws-cn
(Chine) et aws-us-gov
(GovCloud US).
Il semble qu'il n'y ait aucune connexion entre les trois partitions - même l'espace de noms "Global" des compartiments S3 est uniquement global dans chaque partition.
Opérationnellement, il est comme il y a trois « copies » complètement autonomes et indépendantes de AWS. En tant que tel, il n'y a pas d'accès IAM inter-comptes possible, car les partitions semblent totalement ignorantes les unes des autres.
Vous devez être en mesure d'utiliser les informations d'identification d'utilisateur IAM obtenues à partir du compte en Chine pour accéder aux ressources de la partition aws-cn
de n'importe où. Il ne devrait pas y avoir d'empêchement puisque le DynamoDB endpoint in cn-north-1 est accessible directement depuis Internet. Vous devez transmettre ces informations d'identification au client DynamoDB plutôt que d'utiliser les informations d'identification du rôle de la fonction Lambda.
Cela semble prometteur.Avez-vous des recommandations sur la façon d'obtenir les informations d'identification nécessaires et comment référencer et utiliser ces informations d'identification depuis Lambda? J'ai des difficultés à trouver des solutions en ligne qui n'exposent pas les informations d'identification d'une manière qui semble un peu dangereuse. – Otter
Vous devrez créer les informations d'identification de la manière habituelle, mais voir [Créer une fonction Lambda à l'aide de variables d'environnement pour stocker des informations sensibles] (http://docs.aws.amazon.com/lambda/latest/dg/tutorial-env_console .html) pour les stocker cryptés-au-repos. Ils seront décryptés et déposés dans l'environnement lors de la génération des conteneurs Lambda, afin que votre code puisse y accéder et les transmettre au client DynamoDB. –
Je pense que je l'ai eu au travail! Merci! – Otter