Atributos para controlar el acceso

Atributos para el control de acceso es el nombre de la página de la consola de IAM Identity Center en la que se seleccionan los atributos de usuario que se quieren utilizar en las políticas para controlar el acceso a los recursos. Puedes asignar usuarios a las cargas de trabajo en AWS función de los atributos existentes en la fuente de identidad de los usuarios.

Por ejemplo, suponga que desea asignar acceso a los buckets de S3 en característica de los nombres de los departamentos. En la página Atributos para el control de acceso, seleccione el atributo de usuario Departamento para su uso con el control de acceso basado en atributos (ABAC). En el conjunto de permisos de IAM Identity Center, escriba una política que conceda acceso a los usuarios solo cuando el atributo Departmento coincida con la etiqueta de departamento que asignó a sus buckets de S3. IAM Identity Center transfiere el atributo de departamento del usuario a la cuenta a la que se accede. A continuación, el atributo se utiliza para determinar el acceso en característica de la política. Cuando el Centro de Identidad de IAM transfiere estos atributos a la cuenta, se envían como etiquetas de sesión a las que puede hacer referencia mediante la clave de aws:PrincipalTag/tag-key condición en todos los tipos de políticas de AWS IAM pertinentes. Para obtener más información acerca de PITR, consulte Control de acceso basado en atributos.

Introducción

La forma de empezar a configurar los atributos para el control de acceso depende del origen de identidad que utilice. Independientemente del origen de identidad que elija, una vez seleccionados los atributos, tendrá que crear o editar las políticas de conjuntos de permisos. Estas políticas deben permitir que las identidades de los usuarios accedan a los recursos de AWS .

Elección de los atributos al utilizar IAM Identity Center como fuente de identidad

Al configurar IAM Identity Center como fuente de identidad, primero se añaden los usuarios y se configuran sus atributos. A continuación, vaya a la página Atributos para el control de acceso y seleccione los atributos que desee utilizar en las políticas. Por último, navegue hasta la página Cuentas de AWS para crear o editar conjuntos de permisos para usar los atributos de ABAC.

Elegir los atributos al utilizarlos AWS Managed Microsoft AD como fuente de identidad

Al configurar el Centro de Identidad de IAM AWS Managed Microsoft AD como fuente de identidad, primero se asigna un conjunto de atributos de Active Directory a los atributos de usuario del Centro de Identidad de IAM. A continuación, vaya a la página de atributos para el control de acceso. A continuación, elija los atributos que desee utilizar en la configuración de ABAC en característica del conjunto existente de atributos de SSO mapeados desde Active Directory. Por último, cree reglas de ABAC utilizando los atributos de control de acceso de los conjuntos de permisos para permitir que las identidades de los usuarios accedan a los recursos de AWS . Para obtener una lista de las asignaciones predeterminadas de los atributos de usuario del Centro de identidades de IAM a los atributos de usuario de su directorio, consulte. AWS Managed Microsoft AD Asignaciones predeterminadas entre IAM Identity Center y Microsoft AD

Elección de los atributos al utilizar un proveedor de identidades externo como fuente de identidad

Al configurar IAM Identity Center con un proveedor de identidades (IdP) externo como origen de identidad, hay 2 formas de utilizar los atributos de ABAC.

Configure las asignaciones de atributos en la consola del IAM Identity Center. Puede asignar los atributos del directorio del IAM Identity Center a las etiquetas de sesión en la página Atributos para el control de acceso de la consola del IAM Identity Center. Los valores de atributo que elija aquí provienen del directorio de Identity Center y sustituyen los valores por cualquier atributo coincidente que provenga de un IdP a través de una aserción de SAML. Dependiendo de si utiliza o no SCIM, tenga en cuenta lo siguiente:
- Si utiliza SCIM, el IdP sincroniza automáticamente los valores de los atributos en IAM Identity Center. A continuación, puede seleccionar estos atributos sincronizados en la página Atributos para el control de acceso para utilizarlos como etiquetas de sesión.
- Si no utiliza SCIM, debe añadir los usuarios manualmente y establecer sus atributos como si utilizara IAM Identity Center como origen de identidad. A continuación, vaya a la página Atributos para el control de acceso y seleccione los atributos que desee utilizar en las políticas.
Transfiera los atributos de su IdP a través de las aserciones de SAML. Puede configurar su IdP para enviar atributos como etiquetas de sesión mediante aserciones de SAML. Para ello, configure su IdP para que envíe las aserciones de SAML con el nombre de atributo establecido en y TagKey sustituyéndolas por la clave de etiqueta de sesión que desee rellenar. https://aws.amazon.com/SAML/Attributes/AccessControl:TagKey IAM Identity Center transfiere el nombre y el valor del atributo desde el IdP para la evaluación de la política.

No es necesario configurar un mapeo de atributos ABAC en la página Atributos para el control de acceso para los atributos que se transfieren a través de las aserciones de SAML desde su IdP externo. Sin embargo, si configura una asignación ABAC para el mismo atributo en la página Atributos para el control de acceso, la asignación del directorio del Centro de identidad tiene prioridad y reemplaza el valor enviado por su IdP en la afirmación SAML.

nota
Los atributos de las aserciones de SAML no estarán visibles en la página Atributos para el control de acceso. Deberá conocer estos atributos con antelación y añadirlos a las reglas de control de acceso al crear políticas. Si decide confiar en los atributos externos IdPs , estos atributos siempre se transferirán cuando los usuarios se federen. Cuentas de AWS Para obtener información sobre cómo configurar los atributos de usuario para el control de acceso en su IdP para enviarlos mediante aserciones de SAML, consulte el Tutoriales de orígenes de identidad de IAM Identity Center de su IdP.

Para obtener una lista completa de los atributos de usuario compatibles entre los atributos de usuario del Centro de Identidad de IAM y los atributos de usuario del externo IdPs, consulte. Atributos de proveedores de identidad externos compatibles

Para comenzar a utilizar ABAC en IAM Identity Center, consulte los temas siguientes.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Lista de comprobación: configurar ABAC mediante el IAM Identity Center AWS

Habilitación y configuración de atributos para el control de acceso