本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 清单: Amazon 使用 IAM 身份中心配置 ABAC 此清单包括准备您的 Amazon 资源和设置 IAM Identity Center 以进行 ABAC 访问所需的配置任务。按顺序完成此清单中的任务。当参考链接将您带到某个主题时,请返回到该主题,以便您可以继续执行此清单中的其余任务。 - **1** - **Task:** 查看如何为所有 Amazon 资源添加标签。要在 IAM Identity Center 中实施 ABAC,您首先需要向要实施 ABAC 的所有 Amazon 资源添加标签。 - **参考:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) - **2** - **Task:** 查看如何使用身份存储中的关联用户身份和属性在 IAM Identity Center 中配置您的身份源。IAM 身份中心允许您在中使用 ABAC 的任何支持的 IAM 身份中心身份源的用户属性。 Amazon - **参考:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) - **3** - **Task:** 根据以下标准,确定要使用哪些属性来做出访问控制决策,然后将其发送到 IAM I Amazon dentity Center。 / **参考:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) - **Task:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) / **参考:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) - **Task:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) / **参考:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) - **Task:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) / **参考:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) - **Task:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) / **参考:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) - **4** - **Task:** 使用 IAM Identity Center 控制台中的**访问控制属性**页面选择要用于 ABAC 的属性。在此页面中,您可以从步骤 2 中配置的身份源中选择访问控制属性。在您的身份及其属性进入 IAM Identity Center 后,您必须创建键值对(映射),这些键值对将传递给您以 Amazon Web Services 账户 用于访问控制决策。 - **参考:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) - **5** - **Task:** 在权限集中创建自定义权限策略,并使用访问控制属性创建 ABAC 规则,以便用户只能访问具有匹配标签的资源。您在步骤 4 中配置的用户属性将用作 Amazon 中的标签来做出访问控制决策。您可以使用 `aws:PrincipalTag/key` 条件引用权限策略中的访问控制属性。 - **参考:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) - **6** - **Task:** 在您的各种权限集中 Amazon Web Services 账户,将用户分配给您在步骤 5 中创建的权限集。这样做可以确保当他们联合账户并访问 Amazon 资源时,他们只能根据匹配的标签获得访问权限。 - **参考:** [See the AWS documentation website for more details](http://docs.amazonaws.cn/singlesignon/latest/userguide/abac-checklist.html) 完成这些步骤后,联合 Amazon Web Services 账户 使用单点登录的用户将根据匹配的属性访问其 Amazon 资源。