本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 DynamoDB 中啟用 ABAC
<a name="abac-enable-ddb"></a>

對於大多數 AWS 帳戶，預設為啟用 ABAC。使用 [DynamoDB 主控台](https://console.aws.amazon.com/dynamodb/)，您可以確認帳戶是否已啟用 ABAC。若要執行此操作，請使用具有 [dynamodb：GetAbacStatus](#required-permissions-abac) 權限的角色開啟 DynamoDB 主控台。接著，開啟 DynamoDB 主控台的**設定**頁面。

若您未看到**屬性型存取控制**卡片，或卡片顯示狀態為**開啟**，即表示您的帳戶已啟用 ABAC。不過，如果您看到**屬性型存取控制**卡片顯示狀態為**關閉** (如下圖所示)，表示帳戶未啟用 ABAC。

## 屬性型存取控制 – 未啟用
<a name="abac-disabled-image"></a>

![DynamoDB 主控台的設定頁面，顯示屬性型存取控制卡片。](http://docs.aws.amazon.com/zh_tw/amazondynamodb/latest/developerguide/images/ddb-console-settings-page.png)


ABAC 不會針對 AWS 帳戶 其身分型政策或其他政策中指定的標籤型條件啟用。若您的帳戶未啟用 ABAC，政策中針對 DynamoDB 資料表或索引設計的標籤式條件，將會以資源或 API 請求不含任何標籤的狀態進行評估。當您為帳戶啟用 ABAC 時，系統會依據附加至資料表或 API 請求的標籤，評估帳戶中政策內的標籤式條件。

若要啟用帳戶的 ABAC，我們建議您先依 [政策稽核](#policy-audit-for-abac) 一節所述稽核您的政策。接著，在 IAM 政策中加入 [ABAC 所需的權限](#required-permissions-abac)。最後，依 [在主控台啟用 ABAC](#abac-enable-console) 所述步驟，在目前區域為帳戶啟用 ABAC。啟用 ABAC 後，您可在加入後七個日曆天內選擇退出。

**Topics**
+ [啟用 ABAC 前稽核政策](#policy-audit-for-abac)
+ [啟用 ABAC 所需的 IAM 權限](#required-permissions-abac)
+ [在主控台啟用 ABAC](#abac-enable-console)

## 啟用 ABAC 前稽核政策
<a name="policy-audit-for-abac"></a>

在啟用帳戶的 ABAC 前，請稽核政策，確認帳戶內的標籤式條件均已按預期設定。稽核政策可協助避免啟用 ABAC 後，DynamoDB 工作流程中出現授權變更的意外情況。若要查看使用屬性型條件與標籤的範例，以及 ABAC 實作前後的行為變化，請參閱 [使用 ABAC 搭配 DynamoDB 資料表與索引的範例範例使用案例](abac-example-use-cases.md)。

## 啟用 ABAC 所需的 IAM 權限
<a name="required-permissions-abac"></a>

您需要 `dynamodb:UpdateAbacStatus` 權限，才能在目前區域為帳戶啟用 ABAC。若要確認帳戶是否已啟用 ABAC，您也必須具備 `dynamodb:GetAbacStatus` 權限。具備此權限後，您可在任何區域檢視帳戶的 ABAC 狀態。除了存取 DynamoDB 主控台所需的權限外，您還需要這些額外權限。

下列 IAM 政策授予權限，可啟用 ABAC 並檢視目前區域內帳戶的狀態。

```
{
"version": "2012-10-17", 		 	 	 &TCX5-2025-waiver;
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateAbacStatus",
                "dynamodb:GetAbacStatus"
             ],
            "Resource": "*"
        }
    ]
}
```

## 在主控台啟用 ABAC
<a name="abac-enable-console"></a>

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/) 開啟 DynamoDB 主控台。

1. 從頂端導覽窗格選取要啟用 ABAC 的區域。

1. 在左側的導覽窗格中，選擇**設定**。

1. 在**設定**頁面執行以下動作：

   1. 在**屬性型存取控制**卡片中，選取**啟用**。

   1. 在**確認屬性型存取控制設定**對話方塊中，選取**啟用**以確認設定。

      這將在目前區域啟用 ABAC，且**屬性型存取控制**卡片會顯示狀態為**開啟**。

      若您在主控台啟用 ABAC 後想退出，可在加入後七個日曆天內執行。若要退出，請前往**設定**頁面，於**屬性型存取控制**卡片中選取**停用**。
**注意**  
更新 ABAC 狀態屬於非同步作業。若政策中的標籤未立即生效，可能需等待一段時間，因為變更的套用會最終一致。