Atributos para controlar el acceso - AWS IAM Identity Center
Introducción

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Atributos para controlar el acceso

Atributos para el control de acceso es el nombre de la página de la consola de IAM Identity Center en la que se seleccionan los atributos de usuario que se quieren utilizar en las políticas para controlar el acceso a los recursos. Puedes asignar usuarios a las cargas de trabajo en AWS función de los atributos existentes en la fuente de identidad de los usuarios.

Por ejemplo, suponga que desea asignar acceso a los buckets de S3 en característica de los nombres de los departamentos. En la página Atributos para el control de acceso, seleccione el atributo de usuario Departamento para su uso con el control de acceso basado en atributos (ABAC). En el conjunto de permisos de IAM Identity Center, escriba una política que conceda acceso a los usuarios solo cuando el atributo Departmento coincida con la etiqueta de departamento que asignó a sus buckets de S3. IAM Identity Center transfiere el atributo de departamento del usuario a la cuenta a la que se accede. A continuación, el atributo se utiliza para determinar el acceso en característica de la política. Para obtener más información acerca de PITR, consulte Control de acceso basado en atributos.

Introducción

La forma de empezar a configurar los atributos para el control de acceso depende del origen de identidad que utilice. Independientemente del origen de identidad que elija, una vez seleccionados los atributos, tendrá que crear o editar las políticas de conjuntos de permisos. Estas políticas deben permitir que las identidades de los usuarios accedan a los recursos de AWS .

Elección de los atributos al utilizar IAM Identity Center como fuente de identidad

Al configurar IAM Identity Center como fuente de identidad, primero se añaden los usuarios y se configuran sus atributos. A continuación, vaya a la página Atributos para el control de acceso y seleccione los atributos que desee utilizar en las políticas. Por último, navegue hasta la página Cuentas de AWS para crear o editar conjuntos de permisos para usar los atributos de ABAC.

Elección de los atributos al utilizar AWS Managed Microsoft AD como origen de identidad

Al configurar el Centro de identidades de IAM AWS Managed Microsoft AD como fuente de identidad, primero se asigna un conjunto de atributos de Active Directory a los atributos de usuario del Centro de identidades de IAM. A continuación, vaya a la página de atributos para el control de acceso. A continuación, elija los atributos que desee utilizar en la configuración de ABAC en característica del conjunto existente de atributos de SSO mapeados desde Active Directory. Por último, cree reglas de ABAC utilizando los atributos de control de acceso de los conjuntos de permisos para permitir que las identidades de los usuarios accedan a los recursos de AWS . Para obtener una lista de las asignaciones predeterminadas de los atributos de usuario del Centro de identidades de IAM a los atributos de usuario de su directorio, consulte. AWS Managed Microsoft AD Asignaciones predeterminadas entre el Centro de Identidad de IAM y Microsoft AD

Elección de los atributos al utilizar un proveedor de identidades externo como fuente de identidad

Al configurar IAM Identity Center con un proveedor de identidades (IdP) externo como origen de identidad, hay 2 formas de utilizar los atributos de ABAC.

  • Puede configurar su IdP para que envíe los atributos mediante aserciones de SAML. En este caso, IAM Identity Center transfiere el nombre y el valor del atributo desde el IdP para la evaluación de la política.

    nota

    Los atributos de las aserciones de SAML no estarán visibles en la página Atributos para el control de acceso. Deberá conocer estos atributos con antelación y añadirlos a las reglas de control de acceso al crear políticas. Si decide confiar en los atributos externos IdPs , estos atributos siempre se transferirán cuando los usuarios se federen en ellos. Cuentas de AWS En situaciones en las que los mismos atributos llegan a IAM Identity Center a través de SAML y SCIM, el valor de los atributos de SAML prevalece en las decisiones de control de acceso.

  • Puede configurar los atributos que utilizará en la página Atributos para el control de acceso de la consola de IAM Identity Center. Los valores de atributos que elija aquí sustituyen a los valores de cualquier atributo coincidente que provenga de un IdP a través de una afirmación. Dependiendo de si utiliza o no SCIM, tenga en cuenta lo siguiente:

    • Si utiliza SCIM, el IdP sincroniza automáticamente los valores de los atributos en IAM Identity Center. Es posible que los atributos adicionales necesarios para el control de acceso no estén presentes en la lista de atributos del SCIM. En ese caso, considere la posibilidad de colaborar con el administrador de TI de su IdP para enviar dichos atributos a IAM Identity Center mediante aserciones de SAML con el prefijo requerido https://aws.amazon.com/SAML/Attributes/AccessControl:. Para obtener información sobre cómo configurar los atributos de usuario para el control de acceso en su IdP para enviarlos mediante aserciones de SAML, consulte el Tutoriales sobre fuentes de identidad de IAM Identity Center de su IdP.

    • Si no utiliza SCIM, debe añadir los usuarios manualmente y establecer sus atributos como si utilizara IAM Identity Center como origen de identidad. A continuación, vaya a la página Atributos para el control de acceso y seleccione los atributos que desee utilizar en las políticas.

Para obtener una lista completa de los atributos de usuario compatibles entre los atributos de usuario del Centro de Identidad de IAM y los atributos de usuario del externo IdPs, consulte. Atributos de proveedores de identidad externos compatibles

Para comenzar a utilizar ABAC en IAM Identity Center, consulte los temas siguientes.

Temas