Activation de l’ABAC dans DynamoDB - Amazon DynamoDB
Audit de politiqueAutorisations IAMActivation de l’ABAC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation de l’ABAC dans DynamoDB

Dans la plupart des cas Comptes AWS, ABAC est activé par défaut. À l’aide de la console DynamoDB, vous pouvez vérifier si ABAC est activé pour votre compte. Pour ce faire, assurez-vous d'ouvrir la console DynamoDB avec un rôle doté de l'autorisation dynamodb :. GetAbacStatus Ouvrez ensuite la page Paramètres de la console DynamoDB.

Si vous ne voyez pas la carte Contrôle d’accès basé sur les attributs ou si le statut de la carte est Activé, cela signifie que l’ABAC est activé pour votre compte. Toutefois, si vous voyez la carte de Contrôle d’accès basé sur les attributs avec le statut Désactivé, comme indiqué dans l’image suivante, cela signifie que l’ABAC n’est pas activé pour votre compte.

Page de paramètres de la console DynamoDB qui affiche la carte de Contrôle d’accès par attributs.

L'ABAC n'est pas activé Comptes AWS pour les conditions basées sur les balises spécifiées dans leurs politiques basées sur l'identité ou dans d'autres politiques qui doivent encore être auditées. Si l’ABAC n’est pas activé pour votre compte, les conditions basées sur les balises de vos politiques destinées à agir sur les tables ou les index DynamoDB sont évaluées comme si aucune balise n’était présente pour vos ressources ou vos demandes d’API. Lorsque l’ABAC est activé pour votre compte, les conditions basées sur les balises figurant dans les politiques de votre compte sont évaluées en tenant compte des balises associées à vos tables ou à vos demandes d’API.

Pour activer l’ABAC pour votre compte, nous vous recommandons de commencer par auditer vos politiques comme décrit dans la section Audit de politique. Incluez ensuite les autorisations requises pour l’ABAC dans votre politique IAM. Enfin, suivez les étapes décrites dans Activation de l’ABAC dans la console pour activer l’ABAC pour votre compte dans la région actuelle. Après avoir activé l’ABAC, vous pouvez le désactiver dans les sept prochains jours calendaires suivant l’activation.

Audit de vos politiques avant d’activer l’ABAC

Avant d’activer l’ABAC pour votre compte, auditez vos politiques pour vous assurer que les conditions basées sur des balises qui peuvent exister dans les politiques de votre compte sont configurées comme prévu. L’audit de vos politiques permet d’éviter les surprises liées aux modifications d’autorisation apportées à vos flux de travail DynamoDB après l’activation de l’ABAC. Pour consulter des exemples d’utilisation de conditions basées sur les attributs avec des balises, ainsi que le comportement avant et après de la mise en œuvre de l’ABAC, consultez Exemples d’utilisation de l’ABAC avec des tables et des index DynamoDB.

Autorisations IAM requises pour activer l’ABAC

Vous devez disposer de l’autorisation dynamodb:UpdateAbacStatus pour activer l’ABAC pour votre compte dans la région actuelle. Pour vérifier si l’ABAC est activé pour votre compte, vous devez également avoir l’autorisation dynamodb:GetAbacStatus. Cette autorisation vous permet de consulter le statut de l’ABAC d’un compte dans n’importe quelle région. Vous avez besoin de ces autorisations en plus de l’autorisation nécessaire pour accéder à la console DynamoDB.

La politique IAM suivante accorde l’autorisation d’activer l’ABAC et de consulter son statut pour un compte dans la région actuelle.

{
"version": "2012-10-17",&TCX5-2025-waiver;
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateAbacStatus",
                "dynamodb:GetAbacStatus"
             ],
            "Resource": "*"
        }
    ]
}

Activation de l’ABAC dans la console

  1. Connectez-vous à la console DynamoDB AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/dynamodb/

  2. Dans le panneau de navigation supérieur, sélectionnez la région pour laquelle vous souhaitez activer l’ABAC.

  3. Dans le panneau de navigation de gauche, choisissez Paramètres.

  4. Sur la page Settings (Paramètres), procédez comme suit :

    1. Dans la carte de Contrôle d’accès par attributs, choisissez Activer.

    2. Dans la case Confirmer le réglage du contrôle d’accès par attributs, choisissez Activer pour confirmer votre choix.

      Cette opération active l’ABAC pour la région actuelle et la carte de Contrôle d’accès basé sur les attributs indique le statut Activé.

      Si vous souhaitez désactiver l’ABAC après l’avoir activé sur votre console, vous pouvez le faire dans les sept jours calendaires suivant l’activation. Pour désactiver l’ABAC, choisissez Désactiver dans la carte de Contrôle d’accès par attributs de la page Paramètres.

      Note

      La mise à jour du statut de l’ABAC est une opération asynchrone. Si les balises de vos politiques ne sont pas évaluées immédiatement, vous devrez peut-être attendre un certain temps, car l’application des modifications sera finalement cohérente.