在 DynamoDB 中啟用 ABAC - Amazon DynamoDB
政策稽核IAM 許可啟用 ABAC

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 DynamoDB 中啟用 ABAC

對於大多數 AWS 帳戶,預設為啟用 ABAC。使用 DynamoDB 主控台,您可以確認帳戶是否已啟用 ABAC。若要執行此操作,請使用具有 dynamodb:GetAbacStatus 權限的角色開啟 DynamoDB 主控台。接著,開啟 DynamoDB 主控台的設定頁面。

若您未看到屬性型存取控制卡片,或卡片顯示狀態為開啟,即表示您的帳戶已啟用 ABAC。不過,如果您看到屬性型存取控制卡片顯示狀態為關閉 (如下圖所示),表示帳戶未啟用 ABAC。

DynamoDB 主控台的設定頁面,顯示屬性型存取控制卡片。

ABAC 不會為其身分型政策或其他政策中指定的 AWS 帳戶 標籤型條件啟用。若您的帳戶未啟用 ABAC,政策中針對 DynamoDB 資料表或索引設計的標籤式條件,將會以資源或 API 請求不含任何標籤的狀態進行評估。當您為帳戶啟用 ABAC 時,系統會依據附加至資料表或 API 請求的標籤,評估帳戶中政策內的標籤式條件。

若要啟用帳戶的 ABAC,我們建議您先依 政策稽核 一節所述稽核您的政策。接著,在 IAM 政策中加入 ABAC 所需的權限。最後,依 在主控台啟用 ABAC 所述步驟,在目前區域為帳戶啟用 ABAC。啟用 ABAC 後,您可在加入後七個日曆天內選擇退出。

啟用 ABAC 前稽核政策

在啟用帳戶的 ABAC 前,請稽核政策,確認帳戶內的標籤式條件均已按預期設定。稽核政策可協助避免啟用 ABAC 後,DynamoDB 工作流程中出現授權變更的意外情況。若要查看使用屬性型條件與標籤的範例,以及 ABAC 實作前後的行為變化,請參閱 使用 ABAC 搭配 DynamoDB 資料表與索引的範例

啟用 ABAC 所需的 IAM 權限

您需要 dynamodb:UpdateAbacStatus 權限,才能在目前區域為帳戶啟用 ABAC。若要確認帳戶是否已啟用 ABAC,您也必須具備 dynamodb:GetAbacStatus 權限。具備此權限後,您可在任何區域檢視帳戶的 ABAC 狀態。除了存取 DynamoDB 主控台所需的權限外,您還需要這些額外權限。

下列 IAM 政策授予權限,可啟用 ABAC 並檢視目前區域內帳戶的狀態。

{
"version": "2012-10-17",&TCX5-2025-waiver;
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateAbacStatus",
                "dynamodb:GetAbacStatus"
             ],
            "Resource": "*"
        }
    ]
}

在主控台啟用 ABAC

  1. 登入 AWS 管理主控台 ,並在 https://https://console.aws.amazon.com/dynamodb/ 開啟 DynamoDB 主控台。

  2. 從頂端導覽窗格選取要啟用 ABAC 的區域。

  3. 在左側的導覽窗格中,選擇設定

  4. 設定頁面執行以下動作:

    1. 屬性型存取控制卡片中,選取啟用

    2. 確認屬性型存取控制設定對話方塊中,選取啟用以確認設定。

      這將在目前區域啟用 ABAC,且屬性型存取控制卡片會顯示狀態為開啟

      若您在主控台啟用 ABAC 後想退出,可在加入後七個日曆天內執行。若要退出,請前往設定頁面,於屬性型存取控制卡片中選取停用

      注意

      更新 ABAC 狀態屬於非同步作業。若政策中的標籤未立即生效,可能需等待一段時間,因為變更的套用會最終一致。