Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Créer des politiques d'autorisation pour ABAC dans IAM Identity Center
Vous pouvez créer des politiques d'autorisation qui déterminent qui peut accéder à vos AWS ressources en fonction de la valeur d'attribut configurée. Lorsque vous activez ABAC et spécifiez des attributs, IAM Identity Center transmet la valeur d'attribut de l'utilisateur authentifié à des IAM fins d'évaluation des politiques.
aws:PrincipalTag Clé de condition
Vous pouvez utiliser des attributs de contrôle d'accès dans vos ensembles d'autorisations à l'aide de la clé de aws:PrincipalTag
condition pour créer des règles de contrôle d'accès. Par exemple, dans la politique de confiance suivante, vous pouvez étiqueter toutes les ressources de votre organisation avec leurs centres de coûts respectifs. Vous pouvez également utiliser un ensemble d'autorisations unique qui accorde aux développeurs l'accès aux ressources de leur centre de coûts. Désormais, chaque fois que les développeurs se fédérent dans le compte à l'aide de l'authentification unique et de leur attribut de centre de coûts, ils n'ont accès qu'aux ressources de leurs centres de coûts respectifs. Au fur et à mesure que l'équipe ajoute des développeurs et des ressources à son projet, il vous suffit de baliser les ressources avec le centre de coûts approprié. Vous transmettez ensuite les informations du centre de coûts lors de la AWS
session dans laquelle les développeurs se Comptes AWS fédérent. Ainsi, à mesure que l'organisation ajoute de nouvelles ressources et de nouveaux développeurs au centre de coûts, les développeurs peuvent gérer les ressources alignées sur leurs centres de coûts sans avoir besoin de mettre à jour les autorisations.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}" } } } ] }
Pour plus d’informations, consultez .aws:PrincipalTaget EC2: Démarrez ou arrêtez des instances en fonction des balises principales et ressources correspondantes dans le Guide de IAM l'utilisateur.
Si les politiques contiennent des attributs non valides dans leurs conditions, la condition de politique échouera et l'accès sera refusé. Pour de plus amples informations, veuillez consulter Erreur « Une erreur inattendue s'est produite » lorsqu'un utilisateur tente de se connecter à l'aide d'un fournisseur d'identité externe.