本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
基于属性的访问控制
基于属性的访问控制(ABAC)是一种授权策略,该策略基于属性来定义权限。您可以使用 IAM Identity Center 管理跨多个对 Amazon 资源的访问,这些帐户 Amazon Web Services 账户 使用来自任何 IAM Identity Center 身份源的用户属性。在中 Amazon,这些属性称为标签。在中使用用户属性作为标签 Amazon 可以帮助您简化在中创建细精细权限的过程, Amazon 并确保您的员工只能访问具有匹配标签的 Amazon 资源。
例如,您可以将来自两个不同团队的开发人员 Bob 和 Sally 分配到 IAM Identity Center 中的相同权限集,然后选择团队名称属性进行访问控制。当 Bob 和 Sally 登录其时 Amazon Web Services 账户,IAM Identity Center 在 Amazon 会话中发送其团队名称属性,以便 Bob 和 Sally 仅当其团队名称属性与 Amazon 项目资源上的团队名称标签匹配时才能访问项目资源。如果 Bob 将来转到 Sally 的团队,您只需在公司目录中更新他的团队名称属性即可修改他的访问权限。当 Bob 下次登录时,他将自动获得对新团队的项目资源的访问权限,而不需要在 Amazon中更新任何权限。
此方法还有助于减少您需要在 IAM Identity Center 中创建和管理的不同权限的数量,因为与相同权限集关联的用户现在可以根据其属性拥有唯一权限。您可以在 IAM Identity Center 权限集中和基于资源的策略中使用这些用户属性,对 Amazon 资源实施 ABAC 并大规模简化权限管理。
优势
以下是在 IAM Identity Center 使用 ABAC 的其他好处。
-
ABAC 需要更少的权限集 – 由于您不必为不同的工作职能创建不同的策略,因此您创建的权限集更少。这降低了权限管理的复杂性。
-
使用 ABAC,团队可以快速变化和成长 – 当资源在创建时被适当标记时,系统会根据属性自动授予新资源的权限。
-
通过 ABAC 使用公司目录中的员工属性 – 您可以使用 IAM Identity Center 中配置的任何身份源中的现有员工属性在 Amazon中做出访问控制决策。
-
跟踪谁在访问资源 — 安全管理员可以通过查看中的用户属性来轻松确定会话的身份, Amazon CloudTrail 以跟踪中的用户活动 Amazon。
有关使用 IAM Identity Center 控制台如何配置 ABAC 的信息,请参阅 访问控制属性。有关如何使用 IAM Identity Center 启用和配置 ABAC 的信息 APIs,请参阅 CreateInstanceAccessControlAttributeConfigurationIAM Identity Center API 参考指南。