Crear políticas de permisos para ABAC en Centro de identidades de IAM
Puede crear políticas de permisos que determinen quién puede acceder a sus recursos de AWS en característica de los valores de atributos configurados. Cuando habilita ABAC y especifica atributos, Centro de identidades de IAM transfiere los valores de atributo del usuario autenticado a IAM para utilizarlos en la evaluación de políticas.
Clave de condición de aws:PrincipalTag
Puede utilizar los atributos de control de acceso en sus conjuntos de permisos mediante la clave de condición aws:PrincipalTag
para crear reglas de control de acceso. Por ejemplo, en la siguiente política de confianza, puede etiquetar todos los recursos de su organización con sus respectivos centros de costos. También puede utilizar un único conjunto de permisos que conceda a los desarrolladores acceso a los recursos de sus centros de costos. Ahora, cuando los desarrolladores se federan en la cuenta mediante el inicio de sesión único y su atributo de centro de costos, solo tienen acceso a los recursos de sus respectivos centros. A medida que el equipo vaya añadiendo más desarrolladores y recursos a su proyecto, solo tendrás que etiquetar los recursos con el centro de costos correcto. A continuación, se pasa la información del centro de costos en la sesión de AWS cuando los desarrolladores se federan en Cuentas de AWS. Por tanto, a medida que la organización agrega nuevos recursos y desarrolladores al centro de costos, los desarrolladores pueden administrar los recursos alineados con sus centros sin necesidad de actualizar los permisos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}" } } } ] }
Para obtener más información, consulte aws:PrincipalTag y EC2: Iniciar o detener instancias en característica de las etiquetas principales y de recursos coincidentes en la Guía del usuario de IAM.
Si las políticas contienen atributos no válidos en sus condiciones, la condición de la política fallará y se denegará el acceso. Para obtener más información, consulte Error: “Se ha producido un error inesperado” cuando un usuario intenta iniciar sesión con un proveedor de identidad externo.