本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon SQS 基于属性的访问控制 (ABAC)
什么是 ABAC?
基于属性的访问控制 (ABAC) 是一种授权过程,可根据可附加到用户和 Amazon 资源的标签来定义权限。ABAC 根据属性和值提供精细而灵活的访问控制,降低与重新配置的基于角色的策略相关的安全风险,并集中审计和访问策略管理。有关 ABAC 的更多详细信息,请参阅《IAM 用户指南》中的什么是 Amazon ABAC。
Amazon SQS 支持 ABAC,允许您根据与 Amazon SQS 队列关联的标签和别名来控制对 Amazon SQS 队列的访问权限。Amazon SQS 中启用 ABAC 的标签和别名条件键授权 IAM 主体使用 Amazon SQS 队列,而无需编辑策略或管理授权。
借助 ABAC,您可以使用标签为 Amazon SQS 队列配置 IAM 访问权限和策略,这有助于您扩展权限管理。您可以使用添加到每个业务角色的标签在 IAM 中创建单个权限策略,而不必在每次添加新资源时都更新策略。您还可以向 IAM 主体附加标签以创建 ABAC 策略。您可以将 ABAC 策略设计为在进行调用的 IAM 用户角色上的标签与 Amazon SQS 队列标签匹配时允许 Amazon SQS 操作。要详细了解 Amazon 中的标记,请参阅 Amazon 标记策略和 Amazon SQS 成本分配标签。
注意
ABAC for Amazon SQS 目前已在所有提供 Amazon SQS 的 Amazon 商业区域推出,但以下情况除外:
亚太地区(海得拉巴)
亚太地区(墨尔本)
欧洲(西班牙)
欧洲(苏黎世)
为什么应该在 Amazon SQS 中使用 ABAC?
以下是在 Amazon SQS 中使用 ABAC 的一些好处:
-
ABAC for Amazon SQS 需要更少的权限策略。您无需为不同工作职能创建不同策略。您可以使用适用于多个队列的资源和请求标签,这样可以减少操作开销。
-
使用 ABAC 快速扩大团队规模。当资源在创建过程中被适当地标记时,将根据标签自动授予新资源的权限。
-
使用 IAM 主体的权限来限制资源访问。您可以为 IAM 主体创建标签,并使用它们来限制对与 IAM 主体标签匹配的特定操作的访问权限。这可以帮助您自动执行授予请求权限的过程。
-
跟踪谁在访问您的资源。您可以通过查看 Amazon CloudTrail 中的用户属性来确定会话的身份。