启用并配置访问控制属性 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

启用并配置访问控制属性

要使用基于属性的访问权限控制(ABAC),您必须首先在 IAM Identity Center 控制台的设置页面或 IAM Identity Center API 中启用它。无论使用何种身份源,您都可以从身份存储中配置用户属性,用于基于属性的访问控制(ABAC)。在控制台中,您可通过导航至设置页面的访问控制属性选项卡完成此配置。如果您使用外部身份提供者(IdP)作为身份源,还可以选择通过 SAML 断言接收来自外部 IdP 的属性。在此情况下,您需要配置外部 IdP 以发送所需属性。如果 SAML 断言中的某个属性在 IAM Identity Center 中也被定义为 ABAC 属性,则 IAM Identity Center 会在用户登录 Amazon Web Services 账户时,将其身份存储中的该属性值作为会话标签发送。

注意

您无法从 IAM Identity Center 控制台的访问控制属性页面查看外部 IdP 配置和发送的属性。如果您在来自外部 IdP 的 SAML 断言中传递访问控制属性,则当用户进行联合身份验证时,这些属性将直接发送到 Amazon Web Services 账户。这些属性在 IAM Identity Center 中不可用于映射。

主题