本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用并配置访问控制属性
要在所有情况下使用 ABAC,您必须首先使用 IAM Identity Center 控制台或 IAM Identity Center API 启用 ABAC。如果您选择使用 IAM Identity Center 选择属性,则可以使用 IAM Identity Center 控制台或 IAM Identity Center API 中的访问控制属性页面。如果您使用外部身份提供者(IdP)作为身份源并选择通过 SAML 断言发送属性,则可以将 IdP 配置为传递属性。如果 SAML 断言传递了这些属性中的任何一个,IAM Identity Center 将使用 IAM Identity Center Identity Store 中的值替换属性值。当用户对其其账户进行联合身份验证时,只会发送在 IAM Identity Center 中配置的属性以做出访问控制决策。
注意
您无法从 IAM Identity Center 控制台的访问控制属性页面查看外部 IdP 配置和发送的属性。如果您在来自外部 IdP 的 SAML 断言中传递访问控制属性,则当用户进行联合身份验证时,这些属性将直接发送到 Amazon Web Services 账户 。这些属性在 IAM Identity Center 中不可用于映射。
启用访问控制属性
使用以下过程可使用 IAM Identity Center 控制台启用访问属性 (ABAC) 控制功能。
注意
如果您有现有权限集且计划在 IAM Identity Center 实例中启用 ABAC,则额外的安全限制要求您首先拥有 iam:UpdateAssumeRolePolicy 策略。如果您没有在账户中创建任何权限集,则不需要这些额外的安全限制。
启用访问控制的属性
-
选择 设置
-
在设置页面上,找到访问控制属性 框,然后选择启用。继续执行下一个步骤以对其进行配置。
选择您的属性
按照以下过程为 ABAC 配置设置 ABAC 配置属性。
使用 IAM Identity Center 控制台选择您的属性
-
选择 设置
-
在设置页面上,选择访问控制的属性选项卡,然后选择管理属性。
-
在访问控制的属性页面上,选择添加属性并输入密钥和值的详细信息。在这里,您可以将来自您的身份源的属性映射到 IAM Identity Center 作为会话标签传递的属性。
密钥表示您为该属性提供的名称,以便在策略中使用。这可以是任意名称,但您需要在为访问控制编写的策略中指定该确切名称。例如,假设您使用Okta(外部 IdP)作为身份源,并且需要将组织的成本中心数据作为会话标签传递。在 Key 中,您可以输入与密钥名称类似CostCenter的匹配名称。需要注意的是,无论您在此处选择哪个名称,它都必须与您的
aws:PrincipalTag 条件键(即"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}")中的名称完全相同。注意
对您的密钥使用单值属性,例如
Manager。IAM Identity Center 不支持 ABAC 的多值属性,例如Manager, IT Systems。值表示来自您配置的身份源的属性内容。您可以在此处输入在 Amazon Managed Microsoft AD 目录的属性映射 中列出的相应身份源表中的任何值。例如,使用上述示例中提供的上下文,您可以查看受支持的 IdP 属性列表,并确定受支持属性的最接近匹配项是
${path:enterprise.costCenter},然后输入在值字段中。请参阅上面提供的屏幕截图以供参考。请注意,除非您使用通过 SAML 断言传递属性的选项,否则不能使用 ABAC 列表之外的外部 IdP 属性值。 -
选择保存更改。
现在您已经配置了访问控制属性的映射,接下来需要完成 ABAC 配置过程。为此,请创建 ABAC 规则并将其添加到您的权限集和/或基于资源的策略中。这是必需的,这样您才能向用户身份授予对 Amazon 资源的访问权限。有关更多信息,请参阅 在 IAM Identity Center 中为 ABAC 创建权限策略。
禁用访问控制属性
使用以下过程禁用 ABAC 功能并删除所有已配置的属性映射。
禁用访问控制的属性
-
选择 设置
-
在设置页面上,选择访问控制的属性选项卡,然后选择禁用。
-
在禁用访问控制属性对话框中,查看信息,准备就绪后输入 DELETE,然后选择确认。
重要
此步骤将删除所有已配置的属性。删除后,从身份源接收的任何属性以及您之前配置的任何自定义属性都不会被传递。