Erstellen Sie Berechtigungsrichtlinien für ABAC in IAM Identity Center - AWS IAM Identity Center
aws:PrincipalTag Bedingungsschlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie Berechtigungsrichtlinien für ABAC in IAM Identity Center

Sie können Berechtigungsrichtlinien erstellen, die anhand des konfigurierten Attributwerts festlegen, wer auf Ihre AWS Ressourcen zugreifen kann. Wenn Sie Attribute aktivieren ABAC und angeben, leitet IAM Identity Center den Attributwert des authentifizierten Benutzers IAM zur Verwendung bei der Richtlinienbewertung weiter.

aws:PrincipalTag Bedingungsschlüssel

Sie können Zugriffskontrollattribute in Ihren Berechtigungssätzen verwenden, indem Sie den aws:PrincipalTag Bedingungsschlüssel zur Erstellung von Zugriffskontrollregeln verwenden. In der folgenden Vertrauensrichtlinie können Sie beispielsweise alle Ressourcen in Ihrer Organisation mit ihren jeweiligen Kostenstellen kennzeichnen. Sie können auch einen einzigen Berechtigungssatz verwenden, der Entwicklern Zugriff auf ihre Kostenstellenressourcen gewährt. Wenn Entwickler sich nun mithilfe von Single Sign-On und ihrem Kostenstellenattribut mit dem Konto verbinden, erhalten sie nur Zugriff auf die Ressourcen in ihren jeweiligen Kostenstellen. Wenn das Team mehr Entwickler und Ressourcen zu seinem Projekt hinzufügt, müssen Sie nur Ressourcen mit der richtigen Kostenstelle taggen. Anschließend geben Sie Informationen zur Kostenstelle in der AWS Sitzung weiter, in der sich die Entwickler AWS-Konten zusammenschließen. Wenn das Unternehmen der Kostenstelle neue Ressourcen und Entwickler hinzufügt, können Entwickler Ressourcen entsprechend ihren Kostenstellen verwalten, ohne dass Genehmigungen aktualisiert werden müssen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Weitere Informationen finden Sie unter aws:PrincipalTagund EC2: Starten oder Stoppen von Instanzen auf der Grundlage übereinstimmender Haupt- und Ressourcen-Tags im IAMBenutzerhandbuch.

Wenn Richtlinien ungültige Attribute in ihren Bedingungen enthalten, schlägt die Richtlinienbedingung fehl und der Zugriff wird verweigert. Weitere Informationen finden Sie unter Fehler „Ein unerwarteter Fehler ist aufgetreten“, wenn ein Benutzer versucht, sich mit einem externen Identitätsanbieter anzumelden.