View a markdown version of this page

Abilitazione dell’ABAC in DynamoDB - Amazon DynamoDB
Audit delle policyautorizzazioni IAMAbilitazione dell’ABAC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione dell’ABAC in DynamoDB

Per la maggior parte dei casi Account AWS, ABAC è abilitato di default. Utilizzando la console DynamoDB è possibile confermare se l’ABAC è abilitato per il proprio account. Per fare ciò, assicurati di aprire la console DynamoDB con un ruolo con autorizzazione dynamodb:. GetAbacStatus Quindi, apri la pagina Impostazioni della console DynamoDB.

Se non vedi la scheda di controllo degli Attribute-based accessi o se la scheda mostra lo stato Attivo, significa che ABAC è abilitato per il tuo account. Tuttavia, se vedi la scheda di controllo degli Attribute-based accessi con lo stato Disattivata, come mostrato nell'immagine seguente, ABAC non è abilitato per il tuo account.

Pagina delle impostazioni sulla console DynamoDB che mostra la scheda di controllo Attribute-based degli accessi.

ABAC non è abilitato Account AWS per cui le condizioni basate sui tag specificate nelle loro politiche basate sull'identità o altre politiche devono ancora essere verificate. Se l’ABAC non è abilitato per il proprio account, le condizioni basate sui tag nelle policy destinate ad agire sulle tabelle o sugli indici DynamoDB vengono valutate come se non fossero presenti tag per le proprie risorse o richieste API. Quando l’ABAC è abilitato per il proprio account, le condizioni basate sui tag nelle policy dell’account vengono valutate considerando i tag allegati alle proprie tabelle o richieste API.

Per abilitare l’ABAC per il proprio account, si consiglia innanzitutto di sottoporre ad audit le policy come descritto nella sezione Audit delle policy. Quindi, si consiglia di includere le autorizzazioni richieste per l’ABAC nella policy IAM. Infine, si consiglia di eseguire le operazioni descritte in Abilitazione dell’ABAC nella console per abilitare l’ABAC per l’account nella Regione corrente. Dopo aver abilitato l’ABAC, è possibile disattivarlo entro i successivi sette giorni di calendario dall’attivazione.

Esecuzione di audit sulle policy prima dell’abilitazione dell’ABAC

Prima di abilitare l’ABAC per l’account, sottoponi ad audit le policy per verificare che le condizioni basate sui tag che potrebbero esistere nelle policy dell’account siano configurate come previsto. L’audit delle policy aiuterà a evitare imprevisti dovuti alle modifiche delle autorizzazioni con i flussi di lavoro DynamoDB dopo l’abilitazione dell’ABAC. Per visualizzare esempi di utilizzo di condizioni basate su attributi con i tag e il comportamento prima e dopo l’implementazione dell’ABAC, consulta Esempi di utilizzo dell’ABAC con tabelle e indici DynamoDB.

Autorizzazioni IAM necessarie per abilitare l’ABAC

È necessaria l’autorizzazione dynamodb:UpdateAbacStatus per abilitare l’ABAC per l’account nella Regione corrente. Per verificare se l’ABAC è abilitato per l’account, è necessario anche disporre dell’autorizzazione dynamodb:GetAbacStatus. Con questa autorizzazione è possibile visualizzare lo stato dell’ABAC di un account in qualsiasi Regione. Queste autorizzazioni si aggiungono a quelle necessarie per accedere alla console DynamoDB e visualizzare le tabelle.

La seguente policy IAM concede l’autorizzazione per abilitare l’ABAC e visualizzarne lo stato per un account nella Regione corrente.

{
"version": "2012-10-17", &TCX5-2025-waiver;
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateAbacStatus",
                "dynamodb:GetAbacStatus"
             ],
            "Resource": "*"
        }
    ]
}

Abilitazione dell’ABAC nella console

  1. Accedi Console di gestione AWS e apri la console DynamoDB all'indirizzo. https://console.aws.amazon.com/dynamodb/

  2. Dal riquadro di navigazione in alto, seleziona la Regione per la quale desideri abilitare l’ABAC.

  3. Nel riquadro di navigazione a sinistra, scegli Impostazioni.

  4. Nella pagina Settings (Impostazioni), eseguire le operazioni descritte di seguito.

    1. Nella scheda di controllo degli Attribute-based accessi, scegli Abilita.

    2. Nella casella Conferma l’impostazione del controllo degli accesso basato su attributi, seleziona Abilita per confermare la scelta.

      Ciò abilita ABAC per la regione corrente e la scheda di controllo degli Attribute-based accessi mostra lo stato di Attivato.

      Dopo aver abilitato l’ABAC, è possibile disattivarlo entro i successivi sette giorni di calendario dall’attivazione. Per disattivarlo, scegli Disabilita nella scheda di controllo degli Attribute-based accessi nella pagina Impostazioni.

      Nota

      L’aggiornamento dello stato dell’ABAC è un’operazione asincrona. Se i tag delle policy non vengono valutati immediatamente, potrebbe essere necessario attendere qualche istante perché l’applicazione delle modifiche presenti coerenza finale.