On-DemandキャパシティになっていないDynamoDBテーブルをクロスアカウントで探す

AWS Config Advanced Query(高度なクエリ)が便利です

SELECT
  resourceId,
  accountId,
  configuration.provisionedThroughput.readCapacityUnits,
  configuration.provisionedThroughput.writeCapacityUnits
WHERE
  resourceType = 'AWS::DynamoDB::Table'
  AND (
    configuration.provisionedThroughput.readCapacityUnits > 0
    OR configuration.provisionedThroughput.writeCapacityUnits > 0
  )

スキーマは以下のリポジトリを参照
https://github.com/awslabs/aws-config-resource-schema/tree/master/config/properties

残念ながらSCP等で封鎖はできません。状況によってはAWS Configを駆使して即通知もありかもしれません。

クエリは完全なSQLではなく、ASやIS NULL等が使えません