AWS Config Advanced Query(高度なクエリ)が便利です
SELECT
resourceId,
accountId,
configuration.provisionedThroughput.readCapacityUnits,
configuration.provisionedThroughput.writeCapacityUnits
WHERE
resourceType = 'AWS::DynamoDB::Table'
AND (
configuration.provisionedThroughput.readCapacityUnits > 0
OR configuration.provisionedThroughput.writeCapacityUnits > 0
)
スキーマは以下のリポジトリを参照
https://github.com/awslabs/aws-config-resource-schema/tree/master/config/properties
残念ながらSCP等で封鎖はできません。状況によってはAWS Configを駆使して即通知もありかもしれません。
クエリは完全なSQLではなく、ASやIS NULL等が使えません