Tác giả: Robert McCauley
Ngày phát hành: 03 FEB 2026
Chuyên mục: Amazon DynamoDB, Announcements, Intermediate (200), Technical How-to

Amazon DynamoDB global tables là một tính năng cơ sở dữ liệu được quản lý hoàn toàn, đa Vùng (multi-Region) và đa hoạt động (multi-active), cung cấp khả năng sao chép dữ liệu liền mạch và hiệu suất đọc/ghi cục bộ nhanh chóng cho các ứng dụng có quy mô toàn cầu.

Hôm nay, chúng tôi công bố bảng toàn cục đa tài khoản cho Amazon DynamoDB, cho phép bạn sao chép dữ liệu bảng DynamoDB giữa nhiều tài khoản AWS và các Vùng AWS. Tính năng này bổ sung khả năng cách ly cấp tài khoản cho bảng toàn cục, giúp bạn sao chép dữ liệu bảng DynamoDB giữa nhiều tài khoản và Vùng AWS để tăng cường khả năng cách ly và phục hồi.

Với tính năng này, DynamoDB hiện hỗ trợ hai mô hình bảng toàn cục, mỗi mô hình được thiết kế cho các kiến trúc khác nhau:

• Bảng toàn cục cùng tài khoản – Các bản sao được tạo và quản lý trong một tài khoản AWS duy nhất.
• Bảng toàn cục đa tài khoản – Các bản sao được triển khai trên nhiều tài khoản AWS trong khi tham gia vào một nhóm sao chép chung.

Cả hai mô hình đều hỗ trợ ghi cục bộ nhanh, sao chép không đồng bộ và giải quyết xung đột theo nguyên tắc “người ghi cuối cùng thắng” (last-writer-wins). Tuy nhiên, chúng khác nhau về cách quản lý tài khoản, quyền, mã hóa và quản trị bảng. Bảng toàn cục đa tài khoản hiện chỉ hỗ trợ tính nhất quán cuối cùng đa Vùng (MREC).

Trong bài viết này, chúng tôi sẽ chỉ cho bạn cách tạo và cấu hình bảng toàn cục đa tài khoản, đồng thời giới thiệu các trường hợp sử dụng làm nổi bật giá trị của việc sử dụng tính năng này.

Kiến trúc phục hồi sau thảm họa nâng cao

Bảng toàn cục đa tài khoản thay đổi cách bạn có thể kiến trúc các giải pháp phục hồi sau thảm họa. Bằng cách phân phối dữ liệu của bạn trên nhiều tài khoản AWS, bạn có thể có thêm các lớp cách ly để hạn chế tác động của các cấu hình sai, sự cố bảo mật hoặc các vấn đề cấp tài khoản. Hãy xem xét một kịch bản trong đó ứng dụng chính của bạn chạy trong Account1 (us-east-1) và môi trường phục hồi sau thảm họa của bạn hoạt động trong Account2 (us-west-2). Với bảng toàn cục đa tài khoản, cả hai tài khoản đều duy trì các bản sao dữ liệu quan trọng của bạn được đồng bộ hóa, cho phép chuyển đổi dự phòng nhanh chóng mà không cần các quy trình di chuyển dữ liệu phức tạp.

Tuân thủ tổ chức và phân bổ chi phí

Nhiều doanh nghiệp hoạt động với nhiều tài khoản AWS vì lý do tổ chức, bảo mật hoặc tuân thủ. Bảng toàn cục đa tài khoản giúp các tổ chức này duy trì tính nhất quán của dữ liệu trên cơ sở hạ tầng phân tán của họ trong khi vẫn tôn trọng các ranh giới tuân thủ, rào chắn bảo vệ và mô hình quản trị hiện có. Ví dụ, một công ty dịch vụ tài chính có thể duy trì các tài khoản riêng biệt cho các đơn vị kinh doanh hoặc môi trường quy định khác nhau. Bảng toàn cục đa tài khoản cho phép các đơn vị này chia sẻ dữ liệu tham chiếu quan trọng trong khi vẫn duy trì sự cách ly cần thiết theo khung tuân thủ của họ. Ngoài ra, chi phí cho mỗi bản sao Vùng được căn chỉnh với các tài khoản AWS có thể được quản lý bởi các đơn vị kinh doanh riêng biệt.

Để biết thêm thông tin về các chiến lược đa tài khoản, hãy tham khảo quản lý và phân tách tài khoản AWS và Lợi ích của việc sử dụng nhiều tài khoản AWS.

Cách hoạt động của bảng toàn cục DynamoDB đa tài khoản

Bảng toàn cục đa tài khoản sử dụng các quyền được định nghĩa trong chính sách dựa trên tài nguyên để chỉ ra những tài khoản nào khác có thể tham gia nhóm sao chép và cho phép dữ liệu được sao chép.

Mỗi bản sao phải nằm trong một tài khoản AWS riêng biệt và một Vùng riêng biệt. Đối với bảng toàn cục đa tài khoản có N bản sao, bạn phải có N tài khoản trong N Vùng riêng biệt.

Bạn có thể bắt đầu với một bảng Vùng đơn hiện có, không trống, sau đó thêm một bảng bản sao ở một Vùng và tài khoản khác. Hệ thống sẽ sao chép các mục hiện có vào bảng mới. Khi cả hai bảng được đồng bộ hóa, bạn sẽ thấy trạng thái của mỗi bảng là ACTIVE.

Bảng toàn cục đa tài khoản xuất bản chỉ số ReplicationLatency tới Amazon CloudWatch. Chỉ số này theo dõi thời gian trôi qua giữa thời điểm một mục được ghi vào bảng bản sao và thời điểm mục đó xuất hiện trong một bản sao khác trong bảng toàn cục. Bạn có thể theo dõi chỉ số này để hiểu tốc độ sao chép các mục đến các Vùng từ xa.

Bảng toàn cục đa tài khoản: Hành vi sao chép cài đặt

Khi tạo bảng toàn cục đa tài khoản, bạn phải đặt GlobalTableSettingsReplication thành ENABLED cho mỗi bản sao Vùng. Điều này có nghĩa là các thay đổi cấu hình được thực hiện ở một Vùng sẽ tự động lan truyền đến các Vùng khác tham gia vào bảng toàn cục.

Đối với bảng nguồn, bạn có thể bật sao chép cài đặt sau khi tạo bảng. Điều này hỗ trợ kịch bản trong đó một bảng ban đầu được tạo dưới dạng bảng Vùng và sau đó được nâng cấp thành bảng toàn cục đa tài khoản.

Tham khảo Đồng bộ hóa cài đặt để biết danh sách các cài đặt bản sao được đồng bộ hóa và không được đồng bộ hóa.

Tổng quan giải pháp

Trong bài viết này, chúng tôi cung cấp tóm tắt cấp cao về các bước cần thiết để sử dụng bảng toàn cục đa tài khoản. Để biết hướng dẫn chi tiết, hãy tham khảo Hướng dẫn: Tạo bảng toàn cục.

Đối với ví dụ của chúng tôi, chúng tôi sử dụng hai tài khoản: ACCOUNT1 trong REGION1 và ACCOUNT2 trong REGION2.

Chúng ta có thể tạo Amazon Resource Names (ARN) cho mỗi bản sao bảng trước như sau, giả sử bảng mới được gọi là myTable:

• ACCOUNT1_TABLE_ARN: “arn:aws:dynamodb:REGION1:ACCOUNT1:table/myTable”
• ACCOUNT2_TABLE_ARN: “arn:aws:dynamodb:REGION2:ACCOUNT2:table/myTable”

1. Tạo bảng DynamoDB trong REGION1. Bạn có thể thêm các mục vào bảng hoặc sử dụng bảng Vùng đơn hiện có có các mục. Đối với bài viết này, chúng tôi đặt tên bảng là myTable.
2. Đặt GlobalTableSettingsReplication của bảng: ENABLED.

Ảnh chụp màn hình sau đây cho thấy cài đặt này trên DynamoDB console.

Nếu bạn đang sử dụng AWS Command Line Interface (AWS CLI), bạn cũng có thể chỉ ra điều này trong lệnh create-table bằng cách thêm --global-table-settings-replication ENABLED.

3. Thêm chính sách tài nguyên vào bảng, với hai câu lệnh sau:

{
    "Version": "2012-10-17",
    "Statement": [
       {
         "Sid": " AllowTrustedAccountsToJoinThisGlobalTable",
         "Effect": "Allow",
         "Principal": {
             "AWS": [<ACCOUNT2>]
         },
         "Action": "dynamodb:AssociateTableReplica",
         "Resource": <ACCOUNT1_TABLE_ARN>
       },
       {
         "Sid": "AllowReplication",
         "Effect": "Allow",
         "Principal": {
             "Service": "replication.dynamodb.amazonaws.com"
         },
         "Action": [
                      "dynamodb:ReadDataForReplication",
                      "dynamodb:WriteDataForReplication",
                      "dynamodb:ReplicateSettings"
                    ],                
         "Resource": <ACCOUNT1_TABLE_ARN>,
         "Condition": {
            "StringEquals": {
               "aws:SourceAccount": [<ACCOUNT1>, <ACCOUNT2>],
               "aws:SourceArn": [<ACCOUNT1_TABLE_ARN>, 
                                 <ACCOUNT2_TABLE_ARN>]
            }          
         }
       }
    ]
}

Phần Condition của các chính sách này là bắt buộc để service principal của DynamoDB có quyền sao chép dữ liệu giữa các bảng bạn chỉ định. Bạn có thể thêm các tài khoản và ARN bổ sung vào chính sách dựa trên tài nguyên nếu bạn cần mở rộng bảng toàn cục của mình sang các tài khoản và Vùng bổ sung.

2. Tạo bảng DynamoDB trong ACCOUNT2 và REGION2 với các cài đặt sau:
   • GlobalTableSettingsReplication: ENABLED
   • Bao gồm chính sách tài nguyên với định dạng sau:

{
    "Version": "2012-10-17",
    "Statement": [
       {
         "Sid": "AllowReplication",
         "Effect": "Allow",
         "Principal": {
             "Service": "replication.dynamodb.amazonaws.com"
         },
         "Action": [
                      "dynamodb:ReadDataForReplication",
                      "dynamodb:WriteDataForReplication",
                      "dynamodb:ReplicateSettings"
         ],
         "Resource": <ACCOUNT2_TABLE_ARN>,
         "Condition": {
            "StringEquals": {
               "aws:SourceAccount": [<ACCOUNT1>, <ACCOUNT2>],
               "aws:SourceArn": [<ACCOUNT1_TABLE_ARN>, <ACCOUNT2_TABLE_ARN>]
            }
         }
       }
    ]
}

Bạn cũng có thể thực hiện bước này trên DynamoDB console. Chọn menu thả xuống Create table và chọn Create cross-account global table replica.

Ảnh chụp màn hình sau đây cho thấy các chi tiết cấu hình cần thiết.

Các trường hợp sử dụng

Một loại kế hoạch khắc phục thảm họa là kịch bản một tác nhân độc hại giành quyền kiểm soát hoàn toàn Account1. Nếu điều này xảy ra, chủ sở hữu của Account2 có thể dừng sao chép bằng cách cập nhật chính sách tài nguyên của bảng để từ chối các hành động sao chép. Nếu bảng đã bật phục hồi tại một thời điểm, bạn có thể thực hiện xuất tăng dần sang Amazon Simple Storage Service (Amazon S3) để có được ảnh chụp nhanh tất cả các bản ghi từ 24 giờ qua ở định dạng JSON. Sau đó, bạn có thể xem xét các hình ảnh mới và cũ của bất kỳ mục nào đã thay đổi, để xem trạng thái ban đầu của bất kỳ mục nào có thể đã bị thay đổi một cách độc hại. Điều này sẽ được gắn cờ là trạng thái bất thường đối với bảng toàn cục, vì vậy AWS Support có thể liên hệ với bạn để xác minh lý do sao chép đã dừng.

Một trường hợp sử dụng khác là khi bạn muốn di chuyển một bảng giữa các tài khoản AWS. Tại thời điểm viết bài, bảng toàn cục đa tài khoản không hỗ trợ sao chép cùng Vùng, vì vậy một loạt các bước phải được thực hiện, tạm thời liên quan đến một Vùng khác. Các bước cấp cao như sau:

1. Cấu hình ứng dụng của bạn để có thể chuyển đổi tài khoản AWS và Vùng được sử dụng để xác thực với DynamoDB.
2. Sử dụng các bước được đề cập trong bài viết này để:
   1. Thêm chính sách tài nguyên vào bảng trong Account1, Region1.
   2. Tạo bảng bản sao được liên kết trong Account2, Region2.
   3. Chờ 24 giờ. Bạn không thể xóa bản sao bảng gốc cho đến khi 24 giờ đã trôi qua.
3. Điều chỉnh ứng dụng của bạn để sử dụng bảng DynamoDB trong Account2, Region2.
4. Xóa bản sao bảng trong Account1, Region1. (Hệ thống sẽ tự động sao chép tất cả các bản ghi đang chờ xử lý trước khi xóa bản sao.)
5. Sử dụng Account2, gọi update-table để yêu cầu thêm bản sao cùng tài khoản mới trong Region1.
6. Kiểm tra trạng thái bảng. Khi nó trở về ACTIVE, bản sao bảng của bạn trong Account2, Region1 đã sẵn sàng.
7. Chuyển ứng dụng để sử dụng Account2, Region1.
8. (Tùy chọn) Xóa bản sao bảng trong Account2, Region2.

Tóm tắt

Bảng toàn cục DynamoDB hiện hỗ trợ sao chép dữ liệu giữa nhiều tài khoản AWS. Điều này tăng cường khả năng phục hồi thông qua cách ly cấp tài khoản, hỗ trợ các kiểm soát bảo mật và ranh giới dữ liệu được tùy chỉnh, cho phép căn chỉnh khối lượng công việc theo đơn vị kinh doanh hoặc môi trường, và đơn giản hóa các yêu cầu quản trị. Để tìm hiểu thêm, hãy tham khảo Bảng toàn cục – sao chép đa hoạt động, đa Vùng và Khả năng phục hồi và phục hồi sau thảm họa trong Amazon DynamoDB. Vui lòng cho chúng tôi biết phản hồi của bạn trong phần bình luận.

Về tác giả

Robert McCauley

Robert là Kiến trúc sư giải pháp chuyên gia Amazon DynamoDB có trụ sở tại Boston. Ông bắt đầu sự nghiệp tại Amazon vào năm 2012 với tư cách là nhà phát triển SQL tại Amazon Robotics, sau đó là kiến trúc sư giải pháp Alexa Skills, trước khi gia nhập AWS.