Atributos para controlar el acceso

Atributos para el control de acceso es el nombre de la página de la consola de IAM Identity Center en la que se seleccionan los atributos de usuario que se quieren usar en las políticas para controlar el acceso a los recursos. Puede asignar usuarios a cargas de trabajo en AWS en función de los atributos existentes en la fuente de identidad de los usuarios.

Por ejemplo, suponga que desea asignar acceso a los buckets de S3 en característica de los nombres de los departamentos. En la página Atributos para el control de acceso, seleccione el atributo de usuario del Departamento para usarlo con el control de acceso basado en atributos ()ABAC. En el conjunto de permisos de IAM Identity Center, escriba una política que conceda acceso a los usuarios únicamente cuando el atributo Department coincida con la etiqueta de departamento que asignó a sus buckets de S3. IAMIdentity Center transfiere el atributo de departamento del usuario a la cuenta a la que se accede. A continuación, el atributo se utiliza para determinar el acceso en característica de la política. Para obtener más información al respectoABAC, consulteControl de acceso basado en atributos.

Introducción

La forma de empezar a configurar los atributos para el control de acceso depende del origen de identidad que utilice. Independientemente del origen de identidad que elija, una vez seleccionados los atributos, tendrá que crear o editar las políticas de conjuntos de permisos. Estas políticas deben permitir el acceso a las identidades de los usuarios AWS recursos.

Elegir atributos al utilizar IAM Identity Center como fuente de identidad

Al configurar IAM Identity Center como fuente de identidad, primero agrega usuarios y configura sus atributos. A continuación, vaya a la página Atributos para el control de acceso y seleccione los atributos que desee utilizar en las políticas. Por último, navegue hasta el Cuentas de AWSpágina para crear o editar conjuntos de permisos para utilizar los atributosABAC.

Elegir los atributos al usar AWS Managed Microsoft AD como fuente de identidad

Al configurar IAM Identity Center con AWS Managed Microsoft AD como fuente de identidad, primero debe asignar un conjunto de atributos de Active Directory a los atributos de usuario en IAM Identity Center. A continuación, vaya a la página de atributos para el control de acceso. A continuación, elija qué atributos desea usar en la ABAC configuración en función del conjunto de SSO atributos existente mapeado desde Active Directory. Por último, el autor ABAC regula el uso de los atributos de control de acceso de los conjuntos de permisos para conceder acceso a las identidades de los usuarios AWS recursos. Para obtener una lista de las asignaciones predeterminadas de los atributos de usuario en IAM Identity Center a los atributos de usuario de su AWS Managed Microsoft AD directorio, consulte. Asignaciones predeterminadas

Elección de los atributos al utilizar un proveedor de identidades externo como fuente de identidad

Al configurar IAM Identity Center con un proveedor de identidad (IdP) externo como fuente de identidad, hay dos formas de utilizar los atributos para. ABAC

Puede configurar su IdP para enviar los atributos mediante SAML aserciones. En este caso, IAM Identity Center pasa el nombre y el valor del atributo desde el IdP para la evaluación de la política.

nota
Los atributos de SAML las aserciones no estarán visibles en la página Atributos para el control de acceso. Deberá conocer estos atributos con antelación y añadirlos a las reglas de control de acceso al crear políticas. Si decide confiar en los atributos externos IdPs , estos atributos siempre se transferirán cuando los usuarios se federen en Cuentas de AWS. En situaciones en las que los mismos atributos llegan a IAM Identity Center SAML y SCIM el valor de los SAML atributos tiene prioridad en las decisiones de control de acceso.
Puede configurar los atributos que utilizará en la página Atributos para el control de acceso de la consola de IAM Identity Center. Los valores de atributos que elija aquí sustituyen a los valores de cualquier atributo coincidente que provenga de un IdP a través de una afirmación. En función de si los utilizaSCIM, tenga en cuenta lo siguiente:
- Si lo usaSCIM, el IdP sincroniza automáticamente los valores de los atributos en IAM Identity Center. Es posible que los atributos adicionales necesarios para el control de acceso no estén presentes en la lista de SCIM atributos. En ese caso, considere la posibilidad de colaborar con el administrador de TI de su IdP para enviar dichos atributos a IAM Identity Center mediante SAML aserciones con el prefijo requerido. https://aws.amazon.com/SAML/Attributes/AccessControl: Para obtener información sobre cómo configurar los atributos de usuario para el control de acceso en su IdP para enviarlos mediante SAML aserciones, consulte para IAMTutoriales de introducción a Identity Center su IdP.
- Si no los utilizaSCIM, debe agregar los usuarios manualmente y establecer sus atributos como si estuviera utilizando IAM Identity Center como fuente de identidad. A continuación, vaya a la página Atributos para el control de acceso y seleccione los atributos que desee utilizar en las políticas.

Para obtener una lista completa de los atributos de usuario compatibles entre los atributos de usuario de IAM Identity Center y los atributos de usuario externos IdPs, consulteAtributos de proveedores de identidad externos compatibles.

Para empezar a usar ABAC IAM Identity Center, consulte los siguientes temas.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Lista de comprobación: configuración ABAC en AWS utilizando IAM Identity Center

Habilitación y configuración de atributos para el control de acceso