Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle - AWS IAM Identity Center
Aktivieren Sie Attribute für die ZugriffskontrolleWählen Sie Ihre Attribute ausAttribute für die Zugriffskontrolle deaktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle

Um sie ABAC in allen Fällen verwenden zu können, müssen Sie sie zunächst ABAC über die IAM Identity Center-Konsole oder das IAM Identity Center aktivierenAPI. Wenn Sie IAM Identity Center zur Auswahl von Attributen verwenden möchten, verwenden Sie die Seite „Attribute für die Zugriffskontrolle“ in der IAM Identity Center-Konsole oder im IAM Identity CenterAPI. Wenn Sie einen externen Identitätsanbieter (IdP) als Identitätsquelle verwenden und sich dafür entscheiden, Attribute über die SAML Assertionen zu senden, konfigurieren Sie Ihren IdP so, dass er die Attribute weitergibt. Wenn eine SAML Assertion eines dieser Attribute erfüllt, ersetzt IAM Identity Center den Attributwert durch den Wert aus dem IAM Identity Center-Identitätsspeicher. Nur in IAM Identity Center konfigurierte Attribute werden gesendet, um Entscheidungen zur Zugriffskontrolle zu treffen, wenn Benutzer sich mit ihren Konten verbinden.

Anmerkung

Sie können die von einem externen IdP konfigurierten und gesendeten Attribute nicht auf der Seite Attribute für die Zugriffskontrolle in der IAM Identity Center-Konsole anzeigen. Wenn Sie in den SAML Assertionen von Ihrem externen IdP Zugriffskontrollattribute übergeben, werden diese Attribute direkt an den gesendet, AWS-Konto wenn sich Benutzer zusammenschließen. Die Attribute werden in IAM Identity Center nicht für die Zuordnung verfügbar sein.

Aktivieren Sie Attribute für die Zugriffskontrolle

Gehen Sie wie folgt vor, um die Funktion Attribute für die Zugriffskontrolle (ABAC) mithilfe der IAM Identity Center-Konsole zu aktivieren.

Anmerkung

Wenn Sie bereits über Berechtigungssätze verfügen und diese ABAC in Ihrer IAM Identity Center-Instanz aktivieren möchten, müssen Sie für zusätzliche Sicherheitseinschränkungen zunächst über die iam:UpdateAssumeRolePolicy Richtlinie verfügen. Diese zusätzlichen Sicherheitseinschränkungen sind nicht erforderlich, wenn Sie in Ihrem Konto keine Berechtigungssätze erstellt haben.

Um Attribute für die Zugriffskontrolle zu aktivieren

  1. Öffnen Sie die IAMIdentity Center-Konsole.

  2. Wählen Sie Einstellungen

  3. Suchen Sie auf der Seite Einstellungen das Informationsfeld Attribute für die Zugriffskontrolle und wählen Sie dann Aktivieren aus. Fahren Sie mit dem nächsten Verfahren zur Konfiguration fort.

Wählen Sie Ihre Attribute aus

Gehen Sie wie folgt vor, um Attribute für Ihre ABAC Konfiguration einzurichten.

Um Ihre Attribute mit der IAM Identity Center-Konsole auszuwählen

  1. Öffnen Sie die IAMIdentity Center-Konsole.

  2. Wählen Sie Einstellungen

  3. Wählen Sie auf der Seite Einstellungen die Registerkarte Attribute für die Zugriffskontrolle und dann Attribute verwalten aus.

  4. Wählen Sie auf der Seite „Attribute für die Zugriffskontrolle“ die Option „Attribut hinzufügen“ und geben Sie die Schlüssel - und Wertdetails ein. Hier ordnen Sie das aus Ihrer Identitätsquelle stammende Attribut einem Attribut zu, das IAM Identity Center als Sitzungs-Tag weitergibt.

    Details zu den wichtigsten Werten in der IAM Identity Center-Konsole.

    Key steht für den Namen, den Sie dem Attribut zur Verwendung in Richtlinien geben. Dies kann ein beliebiger Name sein, aber Sie müssen diesen genauen Namen in den Richtlinien angeben, die Sie für die Zugriffskontrolle erstellen. Nehmen wir zum Beispiel an, dass Sie Okta (einen externen IdP) als Identitätsquelle verwenden und die Kostenstellendaten Ihrer Organisation als Sitzungs-Tags weitergeben müssen. Im Feld Schlüssel würden Sie einen ähnlich passenden Namen CostCenterwie Ihren Schlüsselnamen eingeben. Es ist wichtig zu beachten, dass unabhängig davon, welchen Namen Sie hier wählen, er auch in Ihrem Namen aws:PrincipalTag-Bedingungsschlüssel (das heißt,"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}") exakt den gleichen Namen haben muss.

    Anmerkung

    Verwenden Sie ein einwertiges Attribut für Ihren Schlüssel, zum Beispiel. Manager IAMIdentity Center unterstützt keine mehrwertigen Attribute fürABAC, zum Beispiel. Manager, IT Systems

    Der Wert steht für den Inhalt des Attributs, das aus Ihrer konfigurierten Identitätsquelle stammt. Hier können Sie einen beliebigen Wert aus der entsprechenden Identitätsquellentabelle eingeben, die unter aufgeführt istAttributzuordnungen für Verzeichnisse AWS Managed Microsoft AD. Wenn Sie beispielsweise den Kontext aus dem oben genannten Beispiel verwenden, überprüfen Sie die Liste der unterstützten IdP-Attribute und stellen fest, dass ein unterstütztes Attribut am ehesten übereinstimmt, ${path:enterprise.costCenter}und geben Sie es dann in das Feld Wert ein. Sehen Sie sich den obigen Screenshot als Referenz an. Beachten Sie, dass Sie externe IdP-Attributwerte außerhalb dieser Liste nur verwenden können, ABAC wenn Sie die Option verwenden, Attribute über die SAML Assertion zu übergeben.

  5. Wählen Sie Änderungen speichern.

Nachdem Sie die Zuordnung Ihrer Zugriffskontrollattribute konfiguriert haben, müssen Sie den ABAC Konfigurationsprozess abschließen. Erstellen Sie dazu Ihre ABAC Regeln und fügen Sie sie Ihren Berechtigungssätzen und/oder ressourcenbasierten Richtlinien hinzu. Dies ist erforderlich, damit Sie Benutzeridentitäten Zugriff auf Ressourcen gewähren können. AWS Weitere Informationen finden Sie unter Erstellen Sie Berechtigungsrichtlinien für ABAC in IAM Identity Center.

Attribute für die Zugriffskontrolle deaktivieren

Gehen Sie wie folgt vor, um die ABAC Funktion zu deaktivieren und alle konfigurierten Attributzuordnungen zu löschen.

Um Attribute für die Zugriffskontrolle zu deaktivieren

  1. Öffnen Sie die IAMIdentity Center-Konsole.

  2. Wählen Sie Einstellungen

  3. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte „Attribute für die Zugriffskontrolle“ und dann „Deaktivieren“.

  4. Überprüfen Sie im Dialogfeld „Attribute für Zugriffskontrolle deaktivieren“ die Informationen, geben Sie sie einDELETE, und klicken Sie dann auf Bestätigen.

    Wichtig

    In diesem Schritt werden alle konfigurierten Attribute gelöscht. Nach dem Löschen werden alle Attribute, die von einer Identitätsquelle empfangen wurden, und alle benutzerdefinierten Attribute, die Sie zuvor konfiguriert haben, nicht weitergegeben.