Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Attribute für Zugriffskontrolle
Attribute für die Zugriffskontrolle ist der Name der Seite in der IAM Identity Center-Konsole, auf der Sie Benutzerattribute auswählen, die Sie in Richtlinien zur Steuerung des Zugriffs auf Ressourcen verwenden möchten. Sie können Benutzer Workloads auf der AWS Grundlage vorhandener Attribute in der Identitätsquelle des Benutzers zuweisen.
Nehmen wir beispielsweise an, Sie möchten den Zugriff auf S3-Buckets anhand von Abteilungsnamen zuweisen. Auf der Seite „Attribute für die Zugriffskontrolle“ wählen Sie das Benutzerattribut „Abteilung“ für die Verwendung mit der attributebasierten Zugriffskontrolle () aus. ABAC Im IAM Identity Center-Berechtigungssatz schreiben Sie dann eine Richtlinie, die Benutzern nur dann Zugriff gewährt, wenn das Abteilungsattribut mit dem Abteilungs-Tag übereinstimmt, das Sie Ihren S3-Buckets zugewiesen haben. IAM Identity Center übergibt das Abteilungsattribut des Benutzers an das Konto, auf das zugegriffen wird. Das Attribut wird dann verwendet, um den Zugriff auf der Grundlage der Richtlinie zu bestimmen. Mehr über ABAC erfahren Sie unter Attributbasierte Zugriffskontrolle.
Erste Schritte
Wie Sie mit der Konfiguration von Attributen für die Zugriffskontrolle beginnen, hängt davon ab, welche Identitätsquelle Sie verwenden. Unabhängig von der ausgewählten Identitätsquelle müssen Sie, nachdem Sie Ihre Attribute ausgewählt haben, Richtlinien für Berechtigungssätze erstellen oder bearbeiten. Diese Richtlinien müssen Benutzeridentitäten Zugriff auf AWS Ressourcen gewähren.
Auswahl von Attributen, wenn Sie IAM Identity Center als Identitätsquelle verwenden
Wenn Sie IAM Identity Center als Identitätsquelle konfigurieren, fügen Sie zunächst Benutzer hinzu und konfigurieren deren Attribute. Navigieren Sie anschließend zur Seite „Attribute für die Zugriffskontrolle“ und wählen Sie die Attribute aus, die Sie in Richtlinien verwenden möchten. Navigieren Sie abschließend zu der AWS-KontenSeite, auf der Sie Berechtigungssätze erstellen oder bearbeiten können, für die die Attribute verwendet werden sollenABAC.
Auswahl von Attributen bei AWS Managed Microsoft AD der Verwendung als Identitätsquelle
Wenn Sie IAM Identity Center AWS Managed Microsoft AD als Identitätsquelle konfigurieren, ordnen Sie zunächst eine Reihe von Attributen aus Active Directory den Benutzerattributen in IAM Identity Center zu. Navigieren Sie als Nächstes zur Seite „Attribute für die Zugriffskontrolle“. Wählen Sie dann auf der Grundlage des vorhandenen Satzes von Attributen, die aus Active Directory zugeordnet wurden, aus, welche SSO Attribute in Ihrer ABAC Konfiguration verwendet werden sollen. Schließlich erstellen Sie ABAC Regeln mithilfe der Zugriffskontrollattribute in Berechtigungssätzen, um Benutzeridentitäten Zugriff auf Ressourcen zu AWS gewähren. Eine Liste der Standardzuordnungen von Benutzerattributen in IAM Identity Center zu Benutzerattributen in Ihrem AWS Managed Microsoft AD Verzeichnis finden Sie unter. Standardzuordnungen
Auswahl von Attributen, wenn Sie einen externen Identitätsanbieter als Identitätsquelle verwenden
Wenn Sie IAM Identity Center mit einem externen Identitätsanbieter (IdP) als Identitätsquelle konfigurieren, gibt es zwei Möglichkeiten, Attribute für ABAC zu verwenden.
-
Sie können Ihren IdP so konfigurieren, dass er die Attribute über SAML Assertionen sendet. In diesem Fall leitet IAM Identity Center den Attributnamen und den Wert vom IdP zur Richtlinienbewertung weiter.
Anmerkung
Attribute in SAML Assertionen sind für Sie auf der Seite Attribute für die Zugriffskontrolle nicht sichtbar. Sie müssen diese Attribute im Voraus kennen und sie den Zugriffskontrollregeln hinzufügen, wenn Sie Richtlinien erstellen. Wenn Sie sich dafür entscheiden, Ihren externen IdPs Attributen zu vertrauen, werden diese Attribute immer weitergegeben, wenn sich Benutzer AWS-Konten zusammenschließen. In Szenarien, in denen dieselben Attribute über SAML und in IAM Identity Center übertragen werdenSCIM, hat der SAML Attributwert Vorrang bei Entscheidungen zur Zugriffskontrolle.
-
Sie können auf der Seite Attribute für die Zugriffskontrolle in der IAM Identity Center-Konsole konfigurieren, welche Attribute Sie verwenden. Die Attributwerte, die Sie hier auswählen, ersetzen die Werte für alle passenden Attribute, die über eine Assertion von einem IdP stammen. Je nachdem, ob Sie es verwendenSCIM, sollten Sie Folgendes beachten:
-
Bei Verwendung SCIM synchronisiert der IdP die Attributwerte automatisch mit IAM Identity Center. Zusätzliche Attribute, die für die Zugriffskontrolle erforderlich sind, sind möglicherweise nicht in der Attributliste enthalten. SCIM In diesem Fall sollten Sie erwägen, mit dem IT-Administrator in Ihrem IdP zusammenzuarbeiten, um solche Attribute über SAML Assertionen mit dem erforderlichen Präfix an IAM Identity Center zu senden.
https://aws.amazon.com/SAML/Attributes/AccessControl:Informationen zur Konfiguration von Benutzerattributen für die Zugriffskontrolle in Ihrem IdP zum Senden von SAML Assertionen finden Sie unter IAMIdentity Center Tutorials zur Identitätsquelle Für Ihren IdP. -
Wenn Sie diese nicht verwendenSCIM, müssen Sie die Benutzer manuell hinzufügen und ihre Attribute so festlegen, als ob Sie IAM Identity Center als Identitätsquelle verwenden würden. Navigieren Sie als Nächstes zur Seite „Attribute für die Zugriffskontrolle“ und wählen Sie die Attribute aus, die Sie in Richtlinien verwenden möchten.
-
Eine vollständige Liste der unterstützten Attribute für Benutzerattribute in IAM Identity Center im Vergleich zu den Benutzerattributen in Ihrem externen System IdPs finden Sie unterUnterstützte externe Identitätsanbieter-Attribute.
Informationen zu den ersten Schritten ABAC in IAM Identity Center finden Sie in den folgenden Themen.
Themen
