Abilitazione dell’ABAC in DynamoDB - Amazon DynamoDB
Audit delle policyAutorizzazioni IAMAbilitazione dell’ABAC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione dell’ABAC in DynamoDB

Per la maggior parte Account AWS, ABAC è abilitato per impostazione predefinita. Utilizzando la console DynamoDB è possibile confermare se l’ABAC è abilitato per il proprio account. Per fare ciò, assicurati di aprire la console DynamoDB con un ruolo con autorizzazione dynamodb:. GetAbacStatus Quindi, apri la pagina Impostazioni della console DynamoDB.

Se non vedi la scheda Controllo degli accessi basato sugli attributi o se la scheda mostra lo stato Attivo, significa che l’ABAC è abilitato per l’account. Tuttavia, se vedi la scheda Controllo degli accessi basato sugli attributi con lo stato Non attivo, come mostrato nell’immagine seguente, l’ABAC non è abilitato per l’account.

Pagina Impostazioni sulla console DynamoDB che mostra la scheda di Controllo degli accessi basato sugli attributi.

ABAC non è abilitato Account AWS per cui le condizioni basate sui tag specificate nelle loro politiche basate sull'identità o altre politiche devono ancora essere verificate. Se l’ABAC non è abilitato per il proprio account, le condizioni basate sui tag nelle policy destinate ad agire sulle tabelle o sugli indici DynamoDB vengono valutate come se non fossero presenti tag per le proprie risorse o richieste API. Quando l’ABAC è abilitato per il proprio account, le condizioni basate sui tag nelle policy dell’account vengono valutate considerando i tag allegati alle proprie tabelle o richieste API.

Per abilitare l’ABAC per il proprio account, si consiglia innanzitutto di sottoporre ad audit le policy come descritto nella sezione Audit delle policy. Quindi, si consiglia di includere le autorizzazioni richieste per l’ABAC nella policy IAM. Infine, si consiglia di eseguire le operazioni descritte in Abilitazione dell’ABAC nella console per abilitare l’ABAC per l’account nella Regione corrente. Dopo aver abilitato l’ABAC, è possibile disattivarlo entro i successivi sette giorni di calendario dall’attivazione.

Esecuzione di audit sulle policy prima dell’abilitazione dell’ABAC

Prima di abilitare l’ABAC per l’account, sottoponi ad audit le policy per verificare che le condizioni basate sui tag che potrebbero esistere nelle policy dell’account siano configurate come previsto. L’audit delle policy aiuterà a evitare imprevisti dovuti alle modifiche delle autorizzazioni con i flussi di lavoro DynamoDB dopo l’abilitazione dell’ABAC. Per visualizzare esempi di utilizzo di condizioni basate su attributi con i tag e il comportamento prima e dopo l’implementazione dell’ABAC, consulta Esempi di utilizzo dell’ABAC con tabelle e indici DynamoDB.

Autorizzazioni IAM necessarie per abilitare l’ABAC

È necessaria l’autorizzazione dynamodb:UpdateAbacStatus per abilitare l’ABAC per l’account nella Regione corrente. Per verificare se l’ABAC è abilitato per l’account, è necessario anche disporre dell’autorizzazione dynamodb:GetAbacStatus. Con questa autorizzazione è possibile visualizzare lo stato dell’ABAC di un account in qualsiasi Regione. Queste autorizzazioni si aggiungono a quelle necessarie per accedere alla console DynamoDB e visualizzare le tabelle.

La seguente policy IAM concede l’autorizzazione per abilitare l’ABAC e visualizzarne lo stato per un account nella Regione corrente.

{
"version": "2012-10-17",&TCX5-2025-waiver;
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateAbacStatus",
                "dynamodb:GetAbacStatus"
             ],
            "Resource": "*"
        }
    ]
}

Abilitazione dell’ABAC nella console

  1. Accedi Console di gestione AWS e apri la console DynamoDB all'indirizzo. https://console.aws.amazon.com/dynamodb/

  2. Dal riquadro di navigazione in alto, seleziona la Regione per la quale desideri abilitare l’ABAC.

  3. Nel riquadro di navigazione a sinistra, scegli Impostazioni.

  4. Nella pagina Settings (Impostazioni), eseguire le operazioni descritte di seguito.

    1. Nella scheda Controllo degli accessi basato sugli attributi, seleziona Abilita.

    2. Nella casella Conferma l’impostazione del controllo degli accesso basato su attributi, seleziona Abilita per confermare la scelta.

      Questa operazione abilita l’ABAC per la Regione corrente e la scheda Controllo degli accessi basato sugli attributi mostra lo stato Attivo.

      Dopo aver abilitato l’ABAC, è possibile disattivarlo entro i successivi sette giorni di calendario dall’attivazione. Per disattivarlo, seleziona Disabilita nella scheda Controllo degli accessi basato sugli attributi nella pagina Impostazioni.

      Nota

      L’aggiornamento dello stato dell’ABAC è un’operazione asincrona. Se i tag delle policy non vengono valutati immediatamente, potrebbe essere necessario attendere qualche istante perché l’applicazione delle modifiche presenti coerenza finale.