本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
访问控制属性
访问控制的属性是 Ident IAM ity Center 控制台中页面的名称,您可以在其中选择要在策略中使用的用户属性来控制对资源的访问权限。您可以 Amazon 根据用户身份源中的现有属性将用户分配给中的工作负载。
例如,假设您想要根据部门名称分配对 S3 桶的访问权限。在 “访问控制的属性” 页面上,您可以选择部门用户属性以用于基于属性的访问控制()ABAC。然后,在 IAM Identity Center 权限集中,您编写一个策略,该策略仅在部门属性与您分配给 S3 存储桶的部门标签匹配时才授予用户访问权限。 IAMIdentity Center 将用户的部门属性传递给正在访问的账户。然后,该属性用于根据策略确定访问。有关 ABAC 的更多信息,请参阅 基于属性的访问控制。
入门
如何开始配置访问控制属性取决于您使用的身份源。无论您选择哪种身份源,在选择属性后,您都需要创建或编辑权限集策略。这些策略必须授予用户身份访问 Amazon 资源的权限。
使用 Ident IAM ity Center 作为身份源时选择属性
将 IAM Identity Center 配置为身份源时,首先要添加用户并配置其属性。接下来,导航到访问控制的属性页面,然后选择要在策略中使用的属性。最后,导航到Amazon Web Services 账户页面以创建或编辑权限集以使用其属性ABAC。
使用 Amazon Managed Microsoft AD 作为身份源时选择属性
将IAM身份中心配置 Amazon Managed Microsoft AD 为身份源时,首先要将 Active Directory 中的一组属性映射到 Ident IAM ity Center 中的用户属性。接下来,导航到访问控制的属性页面。然后,根据从 Active Directory 映射的现有SSO属性集,选择要在ABAC配置中使用的属性。最后,作ABAC者使用权限集中的访问控制属性来授予用户身份对 Amazon 资源的访问权限。有关 Ident IAM ity Center 中用户属性与 Amazon Managed Microsoft AD 目录中用户属性的默认映射列表,请参阅默认映射。
使用外部身份提供者作为身份源时选择属性
使用外部IAM身份提供商 (IdP) 作为身份源配置 Identity Center 时,有两种使用属性的方法。ABAC
-
您可以将 IdP 配置为通过SAML断言发送属性。在这种情况下,Ident IAM ity Center 会将来自 IdP 的属性名称和值传递给策略评估。
注意
在访问控制的属性页面上,您将看不到SAML断言中的属性。您必须提前了解这些属性,并在编写策略时将它们添加到访问控制规则中。如果您决定信任外部 IdPs 的属性,那么当用户联合到 Amazon Web Services 账户时,这些属性将始终被传递。在相同属性通过SAML和传入 Ident IAM ity Center 的场景中SCIM,SAML属性值在访问控制决策中优先。
-
您可以在 Ident IAM ity Center 控制台的访问控制属性页面中配置要使用的属性。您在此处选择的属性值将替换通过断言来自 IdP 的任何匹配属性的值。根据您是否在使用SCIM,请考虑以下几点:
-
如果使用SCIM,IdP 会自动将属性值同步到 Identity Cent IAM er。访问控制所需的其他属性可能不在SCIM属性列表中。在这种情况下,可以考虑与 IdP 中的 IT 管理员合作,使用所需前缀通过SAML断言将此类属性发送到 Ident IAM ity Center。
https://aws.amazon.com/SAML/Attributes/AccessControl:
有关如何在 IdP 中配置用于访问控制的用户属性以通过SAML断言发送的信息,请参阅适用于IAM Identity Center 身份源教程您的 IdP 的。 -
如果您不使用SCIM,则必须手动添加用户并设置其属性,就像使用 Ident IAM ity Center 作为身份源一样。接下来,导航到访问控制的属性页面,然后选择要在策略中使用的属性。
-
有关 Ident IAM ity Center 中的用户属性以及外部用户属性的支持属性的完整列表 IdPs,请参阅支持的外部身份提供商属性。
要开始使用 Id ABAC ent IAM ity Center,请参阅以下主题。