View a markdown version of this page

Attribute für Zugriffskontrolle - AWS IAM Identity Center
Erste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Attribute für Zugriffskontrolle

Attribute für die Zugriffskontrolle ist der Name der Seite in der IAM Identity Center-Konsole, auf der Sie Benutzerattribute auswählen, die Sie in Richtlinien zur Steuerung des Zugriffs auf Ressourcen verwenden möchten. Sie können Benutzer Workloads auf der AWS Grundlage vorhandener Attribute in der Identitätsquelle der Benutzer zuweisen.

Nehmen wir beispielsweise an, Sie möchten den Zugriff auf S3-Buckets anhand von Abteilungsnamen zuweisen. Auf der Seite „Attribute für die Zugriffskontrolle“ wählen Sie das Benutzerattribut „Abteilung“ für die Verwendung mit der attributebasierten Zugriffskontrolle (ABAC) aus. Im IAM Identity Center-Berechtigungssatz schreiben Sie dann eine Richtlinie, die Benutzern nur dann Zugriff gewährt, wenn das Abteilungsattribut mit dem Abteilungs-Tag übereinstimmt, das Sie Ihren S3-Buckets zugewiesen haben. IAM Identity Center übergibt das Abteilungsattribut des Benutzers an das Konto, auf das zugegriffen wird. Das Attribut wird dann verwendet, um den Zugriff auf der Grundlage der Richtlinie zu bestimmen. Wenn IAM Identity Center diese Attribute an das Konto weitergibt, werden sie als Sitzungs-Tags gesendet, auf die Sie mithilfe des aws:PrincipalTag/tag-key Bedingungsschlüssels in allen relevanten AWS IAM-Richtlinientypen verweisen können. Weitere Informationen zu ABAC finden Sie unter. Attributbasierte Zugriffskontrolle

Erste Schritte

Wie Sie mit der Konfiguration von Attributen für die Zugriffskontrolle beginnen, hängt davon ab, welche Identitätsquelle Sie verwenden. Unabhängig von der ausgewählten Identitätsquelle müssen Sie, nachdem Sie Ihre Attribute ausgewählt haben, Richtlinien für Berechtigungssätze erstellen oder bearbeiten. Diese Richtlinien müssen Benutzeridentitäten Zugriff auf AWS Ressourcen gewähren.

Auswahl von Attributen, wenn Sie IAM Identity Center als Identitätsquelle verwenden

Wenn Sie IAM Identity Center als Identitätsquelle konfigurieren, fügen Sie zunächst Benutzer hinzu und konfigurieren deren Attribute. Navigieren Sie anschließend zur Seite „Attribute für die Zugriffskontrolle“ und wählen Sie die Attribute aus, die Sie in Richtlinien verwenden möchten. Navigieren Sie abschließend zu der AWS-KontenSeite, auf der Sie Berechtigungssätze für die Verwendung der Attribute für ABAC erstellen oder bearbeiten können.

Auswahl von Attributen bei Verwendung AWS Managed Microsoft AD als Identitätsquelle

Wenn Sie IAM Identity Center AWS Managed Microsoft AD als Identitätsquelle konfigurieren, ordnen Sie zunächst eine Reihe von Attributen aus Active Directory den Benutzerattributen in IAM Identity Center zu. Navigieren Sie als Nächstes zur Seite „Attribute für die Zugriffskontrolle“. Wählen Sie dann auf der Grundlage des vorhandenen Satzes von SSO-Attributen, die aus Active Directory zugeordnet wurden, aus, welche Attribute in Ihrer ABAC-Konfiguration verwendet werden sollen. Verfassen Sie abschließend ABAC-Regeln mithilfe der Zugriffskontrollattribute in Berechtigungssätzen, um Benutzeridentitäten Zugriff auf Ressourcen zu gewähren. AWS Eine Liste der Standardzuordnungen von Benutzerattributen in IAM Identity Center zu den Benutzerattributen in Ihrem Verzeichnis finden Sie unter. AWS Managed Microsoft AD Standardzuordnungen zwischen IAM Identity Center und Microsoft AD

Auswahl von Attributen, wenn Sie einen externen Identitätsanbieter als Identitätsquelle verwenden

Wenn Sie IAM Identity Center mit einem externen Identitätsanbieter (IdP) als Identitätsquelle konfigurieren, gibt es zwei Möglichkeiten, Attribute für ABAC zu verwenden.

  • Konfigurieren Sie Attributzuordnungen in der IAM Identity Center-Konsole. Auf der Seite Attribute für die Zugriffskontrolle in der IAM Identity Center-Konsole können Sie Attribute aus dem IAM Identity Center-Verzeichnis Sitzungs-Tags zuordnen. Die Attributwerte, die Sie hier auswählen, stammen aus dem Identity Center-Verzeichnis und ersetzen die Werte für alle passenden Attribute, die über eine SAML-Assertion von einem IdP stammen. Je nachdem, ob Sie SCIM verwenden, sollten Sie Folgendes beachten:

    • Bei Verwendung von SCIM synchronisiert der IdP die Attributwerte automatisch mit dem IAM Identity Center. Sie können diese synchronisierten Attribute dann auf der Seite „Attribute für die Zugriffskontrolle“ auswählen, um sie als Sitzungs-Tags zu verwenden.

    • Wenn Sie SCIM nicht verwenden, müssen Sie die Benutzer manuell hinzufügen und ihre Attribute so festlegen, als ob Sie IAM Identity Center als Identitätsquelle verwenden würden. Navigieren Sie als Nächstes zur Seite „Attribute für die Zugriffskontrolle“ und wählen Sie die Attribute aus, die Sie in Richtlinien verwenden möchten.

  • Übergeben Sie Attribute von Ihrem IdP über SAML-Assertionen. Sie können Ihren IdP so konfigurieren, dass er Attribute als Sitzungs-Tags über SAML-Assertionen sendet. Konfigurieren Sie dazu Ihren IdP so, dass SAML-Assertionen gesendet werden, bei denen der Attributname auf gesetzt isthttps://aws.amazon.com/SAML/Attributes/AccessControl:TagKey, und TagKey ersetzen Sie ihn durch den Sitzungs-Tag-Schlüssel, den Sie auffüllen möchten. IAM Identity Center leitet den Attributnamen und den Wert vom IdP zur Richtlinienbewertung weiter.

    Es ist nicht erforderlich, auf der Seite Attribute für die Zugriffskontrolle eine ABAC-Attributzuordnung für Attribute zu konfigurieren, die Sie über SAML-Assertionen von Ihrem externen IdP übergeben. Wenn Sie jedoch auf der Seite Attribute für die Zugriffskontrolle eine ABAC-Zuordnung für dasselbe Attribut konfigurieren, hat die Zuordnung aus dem Identity Center-Verzeichnis Vorrang und ersetzt den von Ihrem IdP in der SAML-Assertion gesendeten Wert.

    Anmerkung

    Attribute in SAML-Assertionen sind für Sie auf der Seite „Attribute für die Zugriffskontrolle“ nicht sichtbar. Sie müssen diese Attribute im Voraus kennen und sie zu den Zugriffskontrollregeln hinzufügen, wenn Sie Richtlinien erstellen. Wenn Sie sich dafür entscheiden, Ihren externen IdPs Attributen zu vertrauen, werden diese Attribute immer weitergegeben, wenn sich Benutzer AWS-Konten zusammenschließen. Informationen zur Konfiguration von Benutzerattributen für die Zugriffskontrolle in Ihrem IdP zum Senden über SAML-Assertionen finden Sie unter Tutorials zu Identitätsquellen im IAM Identity Center Für Ihren IdP.

Eine vollständige Liste der unterstützten Attribute für Benutzerattribute in IAM Identity Center für die Benutzerattribute in Ihrem externen System finden Sie unter. IdPs Unterstützte externe Identitätsanbieter-Attribute

Informationen zu den ersten Schritten mit ABAC in IAM Identity Center finden Sie in den folgenden Themen.

Themen