# Habilitación de ABAC en DynamoDB
<a name="abac-enable-ddb"></a>

En la mayoría de las Cuentas de AWS, ABAC está activado de forma predeterminada. Mediante la [consola de DynamoDB](https://console.aws.amazon.com/dynamodb/), puede confirmar si ABAC se ha habilitado para la cuenta. Para ello, asegúrese de abrir la consola de DynamoDB con un rol que tenga el permiso [dynamodb:GetAbacStatus](#required-permissions-abac). A continuación, abra la página **Configuración** de la consola de DynamoDB.

Si no ve la tarjeta **Control de acceso basado en atributos** o si esta muestra el estado **Activado**, significa que ABAC se ha habilitado para la cuenta. No obstante, si ve la tarjeta **Control de acceso basado en atributos** con el estado **Desactivado**, como se muestra en la siguiente imagen, ABAC no se ha habilitado para la cuenta.

## Control de acceso basado en atributos: no habilitado
<a name="abac-disabled-image"></a>

![\[Página Configuración en la consola de DynamoDB que muestra la tarjeta Control de acceso basado en atributos.\]](http://docs.aws.amazon.com/es_es/amazondynamodb/latest/developerguide/images/ddb-console-settings-page.png)


ABAC no se ha habilitado para las Cuentas de AWS cuyas condiciones basadas en etiquetas especificadas en las políticas basadas en identidad u otras políticas aún deban auditarse. Si ABAC no se ha habilitado para la cuenta, las condiciones basadas en etiquetas de las políticas destinadas a actuar en tablas o índices de DynamoDB se evalúan como si no hubiera etiquetas presentes para los recursos o las solicitudes de la API. Cuando ABAC se ha habilitado para la cuenta, las condiciones basadas en etiquetas de las políticas de la cuenta se evalúan teniendo en cuenta las etiquetas asociadas a las tablas o a las solicitudes de la API.

Para habilitar ABAC en la cuenta, le recomendamos que primero audite las políticas tal y como se describe en la sección [Auditoría de políticas](#policy-audit-for-abac). A continuación, incluya los [permisos necesarios para ABAC](#required-permissions-abac) en la política de IAM. Por último, realice los pasos descritos en [Habilitación de ABAC en la consola](#abac-enable-console) para habilitar ABAC en la cuenta en la región actual. Después de habilitar ABAC, podrá desactivarlo en los siete días naturales posteriores a la activación.

**Topics**
+ [Auditoría de las políticas antes de habilitar ABAC](#policy-audit-for-abac)
+ [Permisos de IAM necesarios para habilitar ABAC](#required-permissions-abac)
+ [Habilitación de ABAC en la consola](#abac-enable-console)

## Auditoría de las políticas antes de habilitar ABAC
<a name="policy-audit-for-abac"></a>

Antes de activar ABAC en la cuenta, audite las políticas para confirmar que las condiciones basadas en etiquetas que puedan existir en las políticas de la cuenta están configuradas según lo previsto. La auditoría de las políticas lo ayudará a evitar sorpresas derivadas de los cambios de autorización en los flujos de trabajo de DynamoDB una vez habilitado ABAC. Para ver ejemplos de utilización de condiciones basadas en atributos con etiquetas y el comportamiento antes y después de la implementación de ABAC, consulte [Ejemplos para utilizar ABAC con tablas e índices de DynamoDBEjemplos de casos de uso](abac-example-use-cases.md).

## Permisos de IAM necesarios para habilitar ABAC
<a name="required-permissions-abac"></a>

Necesita el permiso `dynamodb:UpdateAbacStatus` para habilitar ABAC en la cuenta en la región actual. Para confirmar si ABAC se ha habilitado en la cuenta, también debe tener el permiso `dynamodb:GetAbacStatus`. Con este permiso, puede ver el estado de ABAC de una cuenta en cualquier región. Necesitará estos permisos además del permiso necesario para acceder a la consola de DynamoDB.

La siguiente política de IAM concede el permiso para habilitar ABAC y ver el estado para una cuenta en la región actual.

```
{
"version": "2012-10-17", 		 	 	 &TCX5-2025-waiver;
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateAbacStatus",
                "dynamodb:GetAbacStatus"
             ],
            "Resource": "*"
        }
    ]
}
```

## Habilitación de ABAC en la consola
<a name="abac-enable-console"></a>

1. Inicie sesión en la Consola de administración de AWS y abra la consola de DynamoDB en [https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/).

1. En el panel de navegación superior, elija la región para la que desea habilitar ABAC.

1. En el panel de navegación izquierdo, elija **Configuración**.

1. En la página **Configuración**, haga lo siguiente:

   1. En la tarjeta **Control de acceso basado en atributos**, elija **Habilitar**.

   1. En el cuadro **Confirmar la configuración del control de acceso basado en atributos**, elija **Habilitar** para confirmar la elección.

      Esto habilita ABAC para la región actual y la tarjeta **Control de acceso basado en atributos** muestra el estado **Activado**.

      Si desea desactivar ABAC después de habilitarlo en la consola, puede hacerlo en los siete días naturales posteriores a la activación. Para desactivarlo, elija **Deshabilitar** en la tarjeta **Control de acceso basado en atributos** de la página **Configuración**.
**nota**  
La actualización del estado de ABAC es una operación asíncrona. Si las etiquetas de las políticas no se evalúan de inmediato, es posible que tenga que esperar algún tiempo hasta que la aplicación de los cambios sea coherente.