Aktivieren von ABAC in DynamoDB - Amazon DynamoDB
RichtlinienprüfungIAM-BerechtigungenAktivieren von ABAC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren von ABAC in DynamoDB

In den meisten AWS-Konten Fällen ist ABAC standardmäßig aktiviert. Mithilfe der DynamoDB-Konsole können Sie überprüfen, ob ABAC für Ihr Konto aktiviert ist. Stellen Sie dazu sicher, dass Sie die DynamoDB-Konsole mit einer Rolle öffnen, die über die dynamodb: -Berechtigung verfügt. GetAbacStatus Öffnen Sie dann die Seite Einstellungen der DynamoDB-Konsole.

Wenn Sie die Registerkarte Attributbasierte Zugriffskontrolle nicht sehen oder wenn auf der Registerkarte der Status An angezeigt wird, ist ABAC für Ihr Konto aktiviert. Wenn auf der Registerkarte Attributbasierte Zugangskontrolle jedoch wie in der folgenden Abbildung gezeigt der Status Aus angezeigt wird, ist ABAC für Ihr Konto nicht aktiviert.

Seite Einstellungen der DynamoDB-Konsole, auf der die Registerkarte Attributbasierte Zugriffskontrolle angezeigt wird

ABAC ist nicht aktiviert, weshalb tagbasierte Bedingungen, die in ihren identitätsbasierten Richtlinien oder anderen Richtlinien angegeben sind, noch geprüft werden müssen. AWS-Konten Wenn ABAC für Ihr Konto nicht aktiviert ist, werden die Tag-basierten Bedingungen in Ihren Richtlinien, die auf DynamoDB-Tabellen oder -Indizes angewendet werden sollen, so ausgewertet, als wären keine Tags für Ihre Ressourcen oder API-Anforderungen vorhanden. Wenn ABAC für Ihr Konto aktiviert ist, werden die Tag-basierten Bedingungen in den Richtlinien Ihres Kontos unter Berücksichtigung der mit Ihren Tabellen oder API-Anforderungen verknüpften Tags ausgewertet.

Um ABAC für Ihr Konto zu aktivieren, empfehlen wir, zunächst Ihre Richtlinien wie im Abschnitt Richtlinienprüfung beschrieben zu überprüfen. Schließen Sie dann die erforderlichen Berechtigungen für ABAC in Ihre IAM-Richtlinie ein. Führen Sie abschließend die unter Aktivieren von ABAC in der Konsole beschriebenen Schritte aus, um ABAC für Ihr Konto in der aktuellen Region zu aktivieren. Nachdem Sie ABAC aktiviert haben, können Sie die Option innerhalb der nächsten sieben Kalendertage nach der Aktivierung wieder deaktivieren.

Überprüfen Ihrer Richtlinien vor der Aktivierung von ABAC

Bevor Sie ABAC für Ihr Konto aktivieren, prüfen Sie Ihre Richtlinien, um sicherzustellen, dass die Tag-basierten Bedingungen, die möglicherweise in den Richtlinien Ihres Kontos enthalten sind, wie vorgesehen eingerichtet sind. Durch die Prüfung Ihrer Richtlinien können Sie Überraschungen durch Autorisierungsänderungen in Ihren DynamoDB-Workflows vermeiden, nachdem ABAC aktiviert wurde. Beispiele für die Verwendung von attributbasierten Bedingungen mit Tags sowie das Vorher-Nachher-Verhalten der ABAC-Implementierung finden Sie unter Beispiele für die Verwendung von ABAC mit DynamoDB-Tabellen und -Indizes.

IAM-Berechtigungen, die für die Aktivierung von ABAC erforderlich sind

Sie benötigen die dynamodb:UpdateAbacStatus-Berechtigung, um ABAC für Ihr Konto in der aktuellen Region zu aktivieren. Um zu überprüfen, ob ABAC für Ihr Konto aktiviert ist, benötigen Sie außerdem die dynamodb:GetAbacStatus-Berechtigung. Mit dieser Berechtigung können Sie den ABAC-Status für ein Konto in einer beliebigen Region anzeigen. Sie benötigen diese Berechtigungen zusätzlich zu den Berechtigungen, die für den Zugriff auf die DynamoDB-Konsole erforderlich sind.

Die folgende IAM-Richtlinie gewährt die Berechtigung, ABAC zu aktivieren und ihren Status für ein Konto in der aktuellen Region anzuzeigen.

{
"version": "2012-10-17",&TCX5-2025-waiver;
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateAbacStatus",
                "dynamodb:GetAbacStatus"
             ],
            "Resource": "*"
        }
    ]
}

Aktivieren von ABAC in der Konsole

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die DynamoDB-Konsole unter. https://console.aws.amazon.com/dynamodb/

  2. Wählen Sie im Navigationsbereich die Region, für die Sie ABAC aktivieren möchten.

  3. Wählen Sie im linken Navigationsbereich die Option Einstellungen aus.

  4. Führen Sie auf der Seite Settings (Einstellungen) die folgenden Schritte aus:

    1. Wählen Sie auf der Registerkarte Attributbasierte Zugriffskontrolle die Option Aktivieren aus.

    2. Wählen im Feld Einstellung für die attributbasierte Zugriffskontrolle bestätigen die Option Aktivieren aus, um Ihre Auswahl zu bestätigen.

      Dadurch wird ABAC für die aktuelle Region aktiviert und auf der Registerkarte Attributbasierte Zugriffskontrolle wird der Status Ein angezeigt.

      Wenn Sie ABAC nach der Aktivierung in der Konsole wieder deaktivieren möchten, können Sie die Deaktivierung innerhalb der nächsten sieben Kalendertage nach der Aktivierung durchführen. Wählen Sie dafür Deaktivieren auf der Registerkarte Attributbasierte Zugriffskontrolle auf der Seite Einstellungen aus.

      Anmerkung

      Das Aktualisieren des ABAC-Status ist ein asynchroner Vorgang. Wenn die Tags in Ihren Richtlinien nicht sofort ausgewertet werden, müssen Sie möglicherweise einige Zeit warten, da die Änderungen letztendlich konsistent angewendet werden.