本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用并配置访问控制属性
要ABAC在所有情况下使用,必须先ABAC使用IAM身份中心控制台或IAM身份中心启用API。如果您选择使用 Ident IAM ity Center 来选择属性,则可以使用 Iden tity Center 控制台或 Ident IAM ity Center 中的访问控制属性页面API。IAM如果您使用外部身份提供商 (IdP) 作为身份源并选择通过SAML断言发送属性,则可以将 IdP 配置为传递属性。如果SAML断言通过了这些属性中的任何一个,Ident IAM ity Center 将使用IAM身份中心身份存储中的值替换该属性值。当用户联合到其账户时,只有在 Ident IAM ity Center 中配置的属性才会被发送以做出访问控制决策。
注意
您无法从 Ident IAM ity Center 控制台的访问控制属性页面查看由外部 IdP 配置和发送的属性。如果您在SAML断言中传递来自外部 IdP 的访问控制属性,则这些属性将直接发送到 Amazon Web Services 账户 当用户联合加入时。这些属性将无法在 Ident IAM ity Center 中用于映射。