ほとんどの AWS アカウントでは、ABAC はデフォルトで有効になっています。DynamoDB コンソール
[属性ベースのアクセス制御] カードが表示されない場合、またはカードのステータスが [オン] と表示される場合は、アカウントで ABAC が有効になっていることを意味します。ただし、次の図に示すように、ステータスが [オフ] の [属性ベースのアクセス制御] カードが表示された場合、アカウントで ABAC は有効になっていません。
![[属性ベースのアクセス制御] カードが表示された DynamoDB コンソールの [設定] ページ。](images/ddb-console-settings-page.png)
ABAC は、アイデンティティベースのポリシーまたは他のポリシーで指定されたタグベースの条件を引き続き監査する必要がある AWS アカウントに対して有効になっていません。アカウントで ABAC が有効になっていない場合、DynamoDB テーブルまたはインデックスを操作することを目的としたポリシーのタグベースの条件は、リソースまたは API リクエストにタグが存在しないかのように評価されます。アカウントで ABAC が有効になっている場合、アカウントのポリシーのタグベースの条件は、テーブルまたは API リクエストにアタッチされたタグを考慮して評価されます。
アカウントの ABAC を有効にするには、ポリシー監査 セクションの説明に従って、まずポリシーを監査することをお勧めします。次に、IAM ポリシーに ABAC に必要なアクセス許可を含めます。最後に、「コンソールでの ABAC の有効化」で説明されているステップを実行して、現在のリージョンでアカウントの ABAC を有効にします。ABAC を有効にした後、オプトインから 7 暦日以内にオプトアウトできます。
ABAC を有効にする前のポリシーの監査
アカウントで ABAC を有効にする前に、ポリシーを監査して、アカウント内のポリシーに存在する可能性のあるタグベースの条件が意図したとおりに設定されていることを確認します。ポリシーを監査することで、ABAC が有効になった後に DynamoDB ワークフローで認可が変更されることによる予期しない事態を回避できます。タグを使用した属性ベースの条件の使用例と、ABAC 実装の前後の動作については、「DynamoDB テーブルとインデックスで ABAC を使用する例」を参照してください。
ABAC を有効にするために必要な IAM アクセス許可
現在のリージョンでアカウントの ABAC を有効にするには、dynamodb:UpdateAbacStatus
アクセス許可が必要です。アカウントで ABAC が有効になっているかどうかを確認するには、dynamodb:GetAbacStatus
アクセス許可も必要です。このアクセス許可を使用すると、任意のリージョンのアカウントの ABAC ステータスを表示できます。DynamoDB コンソールへのアクセスに必要なアクセス許可に加えて、これらの許可が必要です。
次の IAM ポリシーは、現在のリージョンのアカウントで ABAC を有効にし、そのステータスを表示するアクセス許可を付与します。
{
"version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:UpdateAbacStatus",
"dynamodb:GetAbacStatus"
],
"Resource": "*"
}
]
}
コンソールでの ABAC の有効化
AWS Management Console にサインインして DynamoDB コンソール (https://console.aws.amazon.com/dynamodb/
) を開きます。 -
上部のナビゲーションペインで、ABAC を有効にするリージョンを選択します。
-
左のナビゲーションペインで、[設定] を選択します。
-
[Settings] (設定) ページで、以下の操作を行います。
-
[属性ベースのアクセス制御] カードで、[有効化] を選択します。
-
[属性ベースのアクセス制御設定の確認] ボックスで、[有効化] を選択して選択を確定します。
これにより、現在のリージョンの ABAC が有効になり、[属性ベースのアクセス制御] カードに [オン] のステータスが表示されます。
コンソールで ABAC を有効にした後にオプトアウトする場合は、オプトインから 7 暦日以内にオプトアウトできます。オプトアウトするには、[設定] ページの [属性ベースのアクセス制御] カードで [無効化] を選択します。
注記
ABAC のステータスの更新は非同期オペレーションです。ポリシーのタグがすぐに評価されない場合は、しばらく待つ必要がある場合があります。変更の適用は最終的に整合します。
-