清单： Amazon 使用 IAM Identity Center 配置 ABAC

此清单包括准备您的 Amazon 资源和设置 IAM Identity Center 以进行 ABAC 访问所需的配置任务。按顺序完成此清单中的任务。当参考链接将您带到某个主题时，请返回到该主题，以便您可以继续执行此清单中的其余任务。

步骤	Task	参考
1	查看如何为所有 Amazon 资源添加标签。要在 IAM Identity Center 中实施 ABAC，您首先需要向要实施 ABAC 的所有 Amazon 资源添加标签。	为资源添加标签 Amazon
2	查看如何使用身份存储中的关联用户身份和属性在 IAM Identity Center 中配置您的身份源。IAM Identity Center 允许您将来自任何支持的 IAM Identity Center 身份源的用户属性用于中的 Amazon ABAC。	管理您的身份源
3	根据以下条件，确定您要使用哪些属性在中做出访问控制决策 Amazon 并将其发送到 IAM Identity Center。	入门
	如果您使用外部身份提供者（IdP），请决定是要使用从 IdP 传递的属性还是从 IAM Identity Center 中选择属性。	使用外部身份提供者作为身份源时选择属性
	如果您选择让 IdP 发送属性，请将 IdP 配置为在 SAML 断言中传输属性。请参阅特定 IdP 教程中的 `Optional` 部分。	IAM Identer 身份源教程
	如果您使用 IdP 作为身份源并选择在 IAM Identity Center 中选择属性，请研究如何配置 SCIM 以便属性值来自您的 IdP。如果您无法将 SCIM 与 IdP 一起使用，则使用 IAM Identity Center 控制台用户页面添加用户及其属性。	使用 SCIM 将外部身份提供者预置到 IAM Identity Center 中支持的外部身份提供商属性
	如果您使用 Active Directory 或 IAM Identity Center 作为身份源，或者使用 IdP 并选择在 IAM Identity Center 中选择属性，则查看您可以配置的可用属性。然后立即跳至步骤 4，开始使用 IAM Identity Center 控制台配置您的 ABAC 属性。	使用 IAM Identity Center 作为身份源时选择属性使用 Amazon Managed Microsoft AD 作为身份源时选择属性 IAM Identity Center 和 Microsoft AD
4	使用 IAM Identity Center 控制台中的访问控制属性页面选择要用于 ABAC 的属性。在此页面中，您可以从步骤 2 中配置的身份源中选择访问控制属性。当您的身份及其属性位于 IAM Identity Center 中后，您必须创建密钥值对（映射），这些密钥值对将传递到您的， Amazon Web Services 账户用于做出访问控制决策。	启用并配置访问控制属性
5	在权限集中创建自定义权限策略，并使用访问控制属性创建 ABAC 规则，以便用户只能访问具有匹配标签的资源。您在步骤 4 中配置的用户属性将用作 Amazon 中的标签来做出访问控制决策。您可以使用 `aws:PrincipalTag/key` 条件引用权限策略中的访问控制属性。	在 IAM Identity Center 中为 ABAC 创建权限策略
6	在各种中 Amazon Web Services 账户，将用户分配给您在步骤 5 中创建的权限集。这样做可以确保当他们对其帐户进行联合身份验证并访问 Amazon 资源时，他们只能根据匹配的标签获得访问权限。	向用户或组分配权限以访问 Amazon Web Services 账户

完成这些步骤后， Amazon Web Services 账户使用单点登录对进行联合身份验证的用户将根据匹配的属性访问其 Amazon 资源。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

基于属性的访问控制

访问控制属性