本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
對於大多數 AWS 帳戶,ABAC 預設為啟用。使用 DynamoDB 主控台
如果您沒有看到屬性型存取控制卡,或如果卡片顯示 On 狀態,則表示您的帳戶已啟用 ABAC。不過,如果您看到狀態為 Off 的屬性型存取控制卡,如下圖所示,您的帳戶不會啟用 ABAC。
ABAC 不會針對 AWS 帳戶 其身分型政策或其他政策中指定的標籤型條件啟用。如果您的帳戶未啟用 ABAC,則政策中旨在對 DynamoDB 資料表或索引採取行動的標籤型條件會評估,如同您的資源或 API 請求沒有標籤一樣。為您的帳戶啟用 ABAC 時,會考慮連接到資料表或 API 請求的標籤,評估您帳戶政策中的標籤型條件。
若要為您的帳戶啟用 ABAC,建議您先稽核政策,如 政策稽核 一節中所述。然後,在您的 IAM 政策中包含 ABAC 所需的許可。最後,執行 中所述的步驟在主控台中啟用 ABAC,為目前區域中的帳戶啟用 ABAC。啟用 ABAC 之後,您可以在選擇加入後的七個日曆天內選擇退出。
在啟用 ABAC 之前稽核您的政策
在您為您的帳戶啟用 ABAC 之前,請稽核您的政策,以確認帳戶中政策中可能存在的標籤型條件已如預期般設定。在啟用 ABAC 之後,稽核您的政策有助於避免 DynamoDB 工作流程的授權變更意外。若要檢視搭配標籤使用屬性型條件的範例,以及 ABAC 實作前後的行為,請參閱 搭配 DynamoDB 資料表和索引使用 ABAC 的範例。
啟用 ABAC 所需的 IAM 許可
您需要 dynamodb:UpdateAbacStatus許可,才能為目前區域中的帳戶啟用 ABAC。若要確認您的帳戶是否已啟用 ABAC,您還必須擁有 dynamodb:GetAbacStatus許可。使用此許可,您可以檢視任何區域中帳戶的 ABAC 狀態。除了存取 DynamoDB 主控台所需的許可之外,您還需要這些許可。
下列 IAM 政策授予許可,以啟用 ABAC 並檢視其目前區域中帳戶的狀態。
{
"version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:UpdateAbacStatus",
"dynamodb:GetAbacStatus"
],
"Resource": "*"
}
]
}在主控台中啟用 ABAC
登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/dynamodb/
開啟 DynamoDB 主控台。 -
從頂端導覽窗格中,選擇您要為其啟用 ABAC 的區域。
-
在左側的導覽窗格中,選擇設定。
-
在設定頁面執行以下動作:
-
在屬性型存取控制卡中,選擇啟用。
-
在確認屬性型存取控制設定方塊中,選擇啟用以確認您的選擇。
這會為目前區域啟用 ABAC,屬性型存取控制卡會顯示開啟狀態。
如果您想要在主控台上啟用 ABAC 之後選擇退出,您可以在選擇加入後的七個日曆天內退出。若要選擇退出,請在設定頁面上的屬性型存取控制卡中選擇停用。
注意
更新 ABAC 狀態是非同步操作。如果政策中的標籤未立即評估,您可能需要等待一段時間,因為變更的應用程式最終一致。
-
