Cree políticas de permisos para ABAC en IAM Identity Center - AWS IAM Identity Center
aws:PrincipalTag clave de condición

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree políticas de permisos para ABAC en IAM Identity Center

Puede crear políticas de permisos que determinen quién puede acceder a sus recursos de AWS en característica de los valores de atributos configurados. Al habilitar ABAC y especificar los atributos, IAM Identity Center transfiere el valor del atributo del usuario autenticado IAM para usarlo en la evaluación de políticas.

aws:PrincipalTag clave de condición

Puede utilizar los atributos de control de acceso en sus conjuntos de permisos mediante la clave de condición aws:PrincipalTag para crear reglas de control de acceso. Por ejemplo, en la siguiente política de confianza, puede etiquetar todos los recursos de su organización con sus respectivos centros de costos. También puede utilizar un único conjunto de permisos que conceda a los desarrolladores acceso a los recursos de sus centros de costos. Ahora, cuando los desarrolladores se federan en la cuenta mediante el inicio de sesión único y su atributo de centro de costos, solo tienen acceso a los recursos de sus respectivos centros. A medida que el equipo vaya añadiendo más desarrolladores y recursos a su proyecto, solo tendrás que etiquetar los recursos con el centro de costos correcto. A continuación, se transfiere la información del centro de costes de la AWS sesión cuando los desarrolladores se federan en ella. Cuentas de AWS Por tanto, a medida que la organización agrega nuevos recursos y desarrolladores al centro de costos, los desarrolladores pueden administrar los recursos alineados con sus centros sin necesidad de actualizar los permisos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Para obtener más información, consulte aws:PrincipalTagy EC2: Inicie o detenga las instancias en función de las etiquetas principales y de recursos que coincidan en la Guía del IAM usuario.

Si las políticas contienen atributos no válidos en sus condiciones, la condición de la política fallará y se denegará el acceso. Para obtener más información, consulte Error: “Se ha producido un error inesperado” cuando un usuario intenta iniciar sesión con un proveedor de identidad externo.