# Habilitar o ABAC no DynamoDB
<a name="abac-enable-ddb"></a>

Para a maioria das Contas da AWS, o ABAC é habilitado por padrão. Usando o [console do DynamoDB](https://console.aws.amazon.com/dynamodb/), é possível confirmar se o ABAC está habilitado para sua conta. Para fazer isso, abra o console do DynamoDB com um perfil que tenha a permissão [dynamodb:GetAbacStatus](#required-permissions-abac). Depois, abra a página **Configurações** do console do DynamoDB.

Se você não vir o cartão **Controle de acesso por atributo** ou se o cartão exibir o status **Ativado**, isso significa que o ABAC está habilitado para sua conta. No entanto, se você vir o cartão **Controle de acesso por atributo** com o status **Desativado**, conforme mostrado na imagem a seguir, o ABAC não está habilitado para sua conta.

## Controle de acesso por atributo: não habilitado
<a name="abac-disabled-image"></a>

![\[Página Configurações no console do DynamoDB que mostra o cartão Controle de acesso por atributo.\]](http://docs.aws.amazon.com/pt_br/amazondynamodb/latest/developerguide/images/ddb-console-settings-page.png)


O ABAC não está habilitado para Contas da AWS para as quais as condições baseadas em tags especificadas nas políticas baseadas em identidade ou em outras políticas ainda precisam ser auditadas. Se o ABAC não estiver habilitado para sua conta, as condições baseadas em tags nas políticas destinadas a atuar nas tabelas ou nos índices do DynamoDB serão avaliadas como se nenhuma tag estivesse presente nos recursos ou nas solicitações de API. Quando o ABAC está habilitado para sua conta, as condições baseadas em tags nas políticas da conta são avaliadas levando em conta as tags anexadas às tabelas ou às solicitações de API.

Para habilitar o ABAC para sua conta, recomendamos primeiro auditar as políticas conforme descrito na seção [Auditoria de políticas](#policy-audit-for-abac). Depois, inclua as [permissões necessárias para o ABAC](#required-permissions-abac) na política do IAM. Por fim, siga as etapas descritas em [Habilitar o ABAC no console](#abac-enable-console) para habilitar o ABAC para sua conta na região atual. Depois de habilitar o ABAC, é possível cancelá-lo nos próximos sete dias corridos após a adesão.

**Topics**
+ [Auditar as políticas antes de habilitar o ABAC](#policy-audit-for-abac)
+ [Permissões do IAM necessárias para habilitar o ABAC](#required-permissions-abac)
+ [Habilitar o ABAC no console](#abac-enable-console)

## Auditar as políticas antes de habilitar o ABAC
<a name="policy-audit-for-abac"></a>

Antes de habilitar o ABAC para sua conta, audite as políticas para confirmar se as condições baseadas em tags que possam existir nas políticas da conta estão configuradas conforme o pretendido. A auditoria das políticas ajudará a evitar surpresas com alterações de autorização nos fluxos de trabalho do DynamoDB após a habilitação do ABAC. Para ver exemplos do uso de condições baseadas em atributos com tags e o comportamento antes e depois da implementação do ABAC, consulte [Exemplos de uso do ABAC com tabelas e índices do DynamoDBExemplo de casos de uso](abac-example-use-cases.md).

## Permissões do IAM necessárias para habilitar o ABAC
<a name="required-permissions-abac"></a>

É necessário ter a permissão `dynamodb:UpdateAbacStatus` para habilitar o ABAC para sua conta na região atual. Para confirmar se o ABAC está habilitado para a conta, você também deve ter a permissão `dynamodb:GetAbacStatus`. Com essa permissão, é possível visualizar o status do ABAC para uma conta em qualquer região. É necessário ter essas permissões além da permissão necessária para acessar o console do DynamoDB.

A política do IAM a seguir concede a permissão para habilitar o ABAC e visualizar seu status para uma conta na região atual.

```
{
"version": "2012-10-17", 		 	 	 &TCX5-2025-waiver;
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateAbacStatus",
                "dynamodb:GetAbacStatus"
             ],
            "Resource": "*"
        }
    ]
}
```

## Habilitar o ABAC no console
<a name="abac-enable-console"></a>

1. Faça login no Console de gerenciamento da AWS e abra o console do DynamoDB em [https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/).

1. No painel de navegação superior, escolha a região para a qual você deseja habilitar o ABAC.

1. No painel de navegação esquerdo, escolha **Configurações**.

1. Na página **Configurações**, faça o seguinte:

   1. No cartão **Controle de acesso por atributo**, escolha **Habilitar**.

   1. Na caixa **Confirmar configuração de controle de acesso por atributo**, escolha **Habilitar** para confirmar sua escolha.

      Isso habilita o ABAC para a região atual e o cartão **Controle de acesso por atributo** mostra o status **Ativado**.

      Se você quiser cancelar a habilitação do ABAC no console, poderá fazer isso nos próximos sete dias corridos após a habilitação. Para cancelar a habilitação, escolha **Desabilitar** no cartão **Controle de acesso por atributo** na página **Configurações**.
**nota**  
A atualização do status do ABAC é uma operação assíncrona. Se as tags em suas políticas não forem avaliadas imediatamente, talvez seja necessário esperar algum tempo, pois a aplicação das alterações será finalmente consistente.