本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
基于属性的访问控制
基于属性的访问控制(ABAC)是一种授权策略,该策略基于属性来定义权限。您可以使用 IAM Identity Center Amazon Web Services 账户 使用来自任何 IAM Identity Center 身份源的用户属性来管理对多个 Amazon 资源的访问权限。在中 Amazon,这些属性称为标签。在中使用用户属性作为标签 Amazon 可以帮助您简化在中创建细粒度权限的过程, Amazon 并确保您的员工只能访问带有匹配标签的 Amazon 资源。
例如,您可以将来自两个不同团队的开发人员 Bob 和 Sally 分配到 IAM Identity Center 中的相同权限集,然后选择团队名称属性进行访问控制。当 Bob 和 Sally 登录他们时 Amazon Web Services 账户,IAM Identity Center 会在 Amazon 会话中发送他们的团队名称属性,因此,只有当他们的团队名称属性与 Amazon 项目资源上的团队名称标签匹配时,Bob 和 Sally 才能访问项目资源。如果 Bob 将来转到 Sally 的团队,您只需在公司目录中更新他的团队名称属性即可修改他的访问权限。当 Bob 下次登录时,他将自动获得对新团队的项目资源的访问权限,而不需要在 Amazon中更新任何权限。
此方法还有助于减少您需要在 IAM Identity Center 中创建和管理的不同权限的数量,因为与相同权限集关联的用户现在可以根据其属性拥有唯一权限。您可以在 IAM Identity Center 权限集和基于资源的策略中使用这些用户属性对 Amazon 资源实施 ABAC 并大规模简化权限管理。
优势
以下是在 IAM Identity Center 使用 ABAC 的其他好处。
-
ABAC 需要更少的权限集 – 由于您不必为不同的工作职能创建不同的策略,因此您创建的权限集更少。这降低了权限管理的复杂性。
-
使用 ABAC,团队可以快速变化和成长 – 当资源在创建时被适当标记时,系统会根据属性自动授予新资源的权限。
-
通过 ABAC 使用公司目录中的员工属性 – 您可以使用 IAM Identity Center 中配置的任何身份源中的现有员工属性在 Amazon中做出访问控制决策。
-
跟踪谁在访问资源 — 安全管理员可以通过查看中的用户属性来跟踪中的用户活动, Amazon CloudTrail 从而轻松确定会话的身份 Amazon。
有关使用 IAM Identity Center 控制台如何配置 ABAC 的信息,请参阅 访问控制属性。有关如何使用 IAM 身份中心 API 启用和配置 ABAC 的信息,请参阅 IAM 身份中心 API 参考指南CreateInstanceAccessControlAttributeConfiguration中的。