Audit des politiques Autorisations IAM Activer ABAC

Activation ABAC dans DynamoDB

Pour la plupart Comptes AWS, ABAC est activé par défaut. À l'aide de la console DynamoDB, vous pouvez vérifier ABAC si cette option est activée pour votre compte. Pour ce faire, assurez-vous d'ouvrir la console DynamoDB avec un rôle doté de l'autorisation dynamodb :. GetAbacStatus Ouvrez ensuite la page Paramètres de la console DynamoDB.

Si vous ne voyez pas la carte de contrôle d'accès basée sur les attributs ou si le statut de la carte est Activé, cela signifie que votre compte ABAC est activé. Toutefois, si vous voyez que la carte de contrôle d'accès basée sur les attributs dont le statut est Désactivé, comme indiqué dans l'image suivante, ABAC n'est pas activée pour votre compte.

Page de paramètres de la console DynamoDB qui affiche la carte de contrôle d'accès basée sur les attributs.

ABACn'est pas activé Comptes AWS pour les conditions basées sur les balises spécifiées dans leurs politiques basées sur l'identité ou dans d'autres politiques qui doivent encore être auditées. Si cette option ABAC n'est pas activée pour votre compte, les conditions basées sur les balises de vos politiques destinées à agir sur les tables ou les index DynamoDB sont évaluées comme si aucune balise n'était présente pour vos ressources ou requêtes. API Lorsque cette option ABAC est activée pour votre compte, les conditions basées sur les balises figurant dans les politiques de votre compte sont évaluées en fonction des balises associées à vos tables ou à vos API demandes.

ABACPour activer votre compte, nous vous recommandons de vérifier d'abord vos politiques comme décrit dans la Audit des politiques section. Incluez ensuite les autorisations requises pour ABAC dans votre IAM politique. Enfin, suivez les étapes décrites dans la section Activation ABAC dans la console ABAC pour activer votre compte dans la région actuelle. Une fois que vous l'avez activéABAC, vous pouvez vous désinscrire dans les sept prochains jours calendaires suivant votre inscription.

Rubriques

Audit de vos politiques avant de les activer ABAC
IAMautorisations requises pour activer ABAC
Activation ABAC dans la console

Audit de vos politiques avant de les activer ABAC

Avant d'activer votre compte, vérifiez vos politiques ABAC pour vous assurer que les conditions basées sur des balises qui peuvent exister dans les politiques de votre compte sont configurées comme prévu. L'audit de vos politiques permet d'éviter les surprises liées aux modifications d'autorisation apportées à vos flux ABAC de travail DynamoDB une fois celle-ci activée. Pour consulter des exemples d'utilisation de conditions basées sur les attributs avec des balises, ainsi que le comportement de ABAC mise en œuvre avant et après, consultez. Exemples d'utilisation ABAC avec les tables et les index DynamoDB

IAMautorisations requises pour activer ABAC

Vous devez avoir l'dynamodb:UpdateAbacStatusautorisation ABAC d'activer votre compte dans la région actuelle. Pour confirmer si elle ABAC est activée pour votre compte, vous devez également en avoir l'dynamodb:GetAbacStatusautorisation. Avec cette autorisation, vous pouvez consulter le ABAC statut d'un compte dans n'importe quelle région. Vous avez besoin de ces autorisations en plus de l'autorisation requise pour accéder à la console DynamoDB.

La IAM politique suivante accorde l'autorisation d'activer ABAC et de consulter son statut pour un compte dans la région actuelle.


{
"version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateAbacStatus",
                "dynamodb:GetAbacStatus"
             ],
            "Resource": "*"
        }
    ]
}

Activation ABAC dans la console

Connectez-vous à la console DynamoDB AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/dynamodb/
Dans le volet de navigation supérieur, choisissez la région pour laquelle vous souhaitez activerABAC.
Dans le panneau de navigation de gauche, choisissez Paramètres.
Sur la page Settings (Paramètres), procédez comme suit :
1. Dans la carte de contrôle d'accès basée sur les attributs, choisissez Activer.
2. Dans la case Confirmer le réglage du contrôle d'accès basé sur les attributs, choisissez Activer pour confirmer votre choix.
  
  Cela est activé ABAC pour la région actuelle et la carte de contrôle d'accès basée sur les attributs indique le statut Activé.
  
  Si vous souhaitez vous désinscrire après l'avoir activé ABAC sur la console, vous pouvez le faire dans les sept jours calendaires suivant votre inscription. Pour vous désinscrire, choisissez Désactiver dans la carte de contrôle d'accès basée sur les attributs de la page Paramètres.
  
  Note
  La mise à jour du statut de ABAC est une opération asynchrone. Si les balises de vos politiques ne sont pas évaluées immédiatement, vous devrez peut-être attendre un certain temps car l'application des modifications sera finalement cohérente.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Contrôle d’accès basé sur les attributs

Utiliser ABAC

Activation ABAC dans DynamoDB

Rubriques

Audit de vos politiques avant de les activer ABAC

IAMautorisations requises pour activer ABAC

Activation ABAC dans la console

Note