Kontrol akses berbasis atribut

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut. Anda dapat menggunakan Pusat Identitas IAM untuk mengelola akses ke AWS sumber daya Anda di beberapa Akun AWS menggunakan atribut pengguna yang berasal dari sumber identitas Pusat Identitas IAM mana pun. Dalam AWS, atribut ini disebut tag. Menggunakan atribut pengguna sebagai tag dalam AWS membantu Anda menyederhanakan proses pembuatan izin berbutir halus AWS dan memastikan bahwa tenaga kerja Anda hanya mendapatkan akses ke sumber daya dengan tag yang cocok. AWS

Misalnya, Anda dapat menetapkan pengembang Bob dan Sally, yang berasal dari dua tim yang berbeda, ke izin yang sama yang ditetapkan di IAM Identity Center dan kemudian pilih atribut nama tim untuk kontrol akses. Ketika Bob dan Sally masuk ke mereka Akun AWS, IAM Identity Center mengirimkan atribut nama tim mereka dalam AWS sesi sehingga Bob dan Sally dapat mengakses sumber daya AWS proyek hanya jika atribut nama tim mereka cocok dengan tag nama tim pada sumber daya proyek. Jika Bob pindah ke tim Sally di masa depan, Anda dapat memodifikasi aksesnya hanya dengan memperbarui atribut nama timnya di direktori perusahaan. Ketika Bob masuk lain kali, dia akan secara otomatis mendapatkan akses ke sumber daya proyek tim barunya tanpa memerlukan izin pembaruan apa pun. AWS

Pendekatan ini juga membantu mengurangi jumlah izin berbeda yang perlu Anda buat dan kelola di IAM Identity Center karena pengguna yang terkait dengan set izin yang sama sekarang dapat memiliki izin unik berdasarkan atribut mereka. Anda dapat menggunakan atribut pengguna ini dalam kumpulan izin IAM Identity Center dan kebijakan berbasis sumber daya untuk menerapkan ABAC ke sumber AWS daya dan menyederhanakan pengelolaan izin dalam skala besar.

Manfaat

Berikut ini adalah manfaat tambahan menggunakan ABAC di IAM Identity Center.

ABAC memerlukan lebih sedikit set izin — Karena Anda tidak perlu membuat kebijakan yang berbeda untuk fungsi pekerjaan yang berbeda, Anda membuat lebih sedikit set izin. Ini mengurangi kompleksitas manajemen izin Anda.
Menggunakan ABAC, tim dapat berubah dan berkembang dengan cepat — Izin untuk sumber daya baru secara otomatis diberikan berdasarkan atribut ketika sumber daya ditandai dengan tepat pada saat pembuatan.
Gunakan atribut karyawan dari direktori perusahaan Anda dengan ABAC — Anda dapat menggunakan atribut karyawan yang ada dari sumber identitas apa pun yang dikonfigurasi di Pusat Identitas IAM untuk membuat keputusan kontrol akses. AWS
Lacak siapa yang mengakses sumber daya — Administrator keamanan dapat dengan mudah menentukan identitas sesi dengan meninjau atribut pengguna AWS CloudTrail untuk melacak aktivitas pengguna. AWS

Untuk informasi tentang cara mengonfigurasi ABAC menggunakan konsol Pusat Identitas IAM, lihat. Atribut untuk kontrol akses Untuk informasi tentang cara mengaktifkan dan mengonfigurasi ABAC menggunakan API Pusat Identitas IAM, lihat CreateInstanceAccessControlAttributeConfigurationdi Panduan Referensi API Pusat Identitas IAM.

Topik

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mereferensikan set izin dalam kebijakan sumber daya, Amazon EKS, dan AWS KMS

Checklist: Mengkonfigurasi ABAC dalam AWS menggunakan IAM Identity Center