Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Atribut untuk kontrol akses
Atribut untuk kontrol akses adalah nama halaman di konsol Pusat Identitas IAM tempat Anda memilih atribut pengguna yang ingin digunakan dalam kebijakan untuk mengontrol akses ke sumber daya. Anda dapat menetapkan pengguna ke beban kerja AWS berdasarkan atribut yang ada di sumber identitas pengguna.
Misalnya, Anda ingin menetapkan akses ke bucket S3 berdasarkan nama departemen. Saat berada di halaman Atribut untuk kontrol akses, Anda memilih atribut pengguna Departemen untuk digunakan dengan kontrol akses berbasis atribut (ABAC). Dalam set izin Pusat Identitas IAM, Anda kemudian menulis kebijakan yang memberi pengguna akses hanya jika atribut Department cocok dengan tag departemen yang ditetapkan ke bucket S3. IAM Identity Center meneruskan atribut departemen pengguna ke akun yang sedang diakses. Atribut kemudian digunakan untuk menentukan akses berdasarkan kebijakan. Ketika Pusat Identitas IAM meneruskan atribut ini ke akun, atribut tersebut dikirim sebagai tag sesi yang dapat Anda referensikan menggunakan kunci aws:PrincipalTag/ kondisi di semua jenis kebijakan AWS IAM yang relevan. Untuk informasi lebih lanjut tentang ABAC, lihatKontrol Akses Berbasis Atribut. tag-key
Memulai
Bagaimana Anda memulai mengonfigurasi atribut untuk kontrol akses tergantung pada sumber identitas yang Anda gunakan. Terlepas dari sumber identitas yang Anda pilih, setelah memilih atribut, Anda perlu membuat atau mengedit kebijakan set izin. Kebijakan ini harus memberikan akses identitas pengguna ke AWS sumber daya.
Memilih atribut saat menggunakan IAM Identity Center sebagai sumber identitas Anda
Saat Anda mengonfigurasi Pusat Identitas IAM sebagai sumber identitas, pertama-tama Anda menambahkan pengguna dan mengonfigurasi atributnya. Selanjutnya, arahkan ke halaman Attributes for access control dan pilih atribut yang ingin Anda gunakan dalam kebijakan. Terakhir, navigasikan ke Akun AWShalaman untuk membuat atau mengedit set izin untuk menggunakan atribut untuk ABAC.
Memilih atribut saat menggunakan AWS Managed Microsoft AD sebagai sumber identitas Anda
Saat Anda mengonfigurasi Pusat Identitas IAM AWS Managed Microsoft AD sebagai sumber identitas Anda, pertama-tama Anda memetakan sekumpulan atribut dari Active Directory ke atribut pengguna di IAM Identity Center. Selanjutnya, navigasikan ke halaman Attributes for access control. Kemudian pilih atribut mana yang akan digunakan dalam konfigurasi ABAC Anda berdasarkan kumpulan atribut SSO yang ada yang dipetakan dari Active Directory. Terakhir, pembuat aturan ABAC menggunakan atribut kontrol akses dalam set izin untuk memberikan akses identitas pengguna ke AWS sumber daya. Untuk daftar pemetaan default untuk atribut pengguna di Pusat Identitas IAM ke atribut pengguna di AWS Managed Microsoft AD direktori Anda, lihat. Pemetaan default antara IAM Identity Center dan Microsoft AD
Memilih atribut saat menggunakan penyedia identitas eksternal sebagai sumber identitas Anda
Saat Anda mengonfigurasi Pusat Identitas IAM dengan penyedia identitas eksternal (iDP) sebagai sumber identitas Anda, ada dua cara untuk menggunakan atribut untuk ABAC.
-
Konfigurasikan pemetaan atribut di konsol Pusat Identitas IAM. Anda dapat memetakan atribut dari direktori IAM Identity Center ke tag sesi pada halaman Attributes for access control di konsol IAM Identity Center. Nilai atribut yang Anda pilih di sini bersumber dari direktori Pusat Identitas dan mengganti nilai untuk atribut yang cocok yang berasal dari IDP melalui pernyataan SAMP. Tergantung pada apakah Anda menggunakan SCIM, pertimbangkan hal berikut:
-
Jika menggunakan SCIM, iDP secara otomatis menyinkronkan nilai atribut ke IAM Identity Center. Anda kemudian dapat memilih atribut yang disinkronkan ini pada halaman Attributes for access control untuk menggunakannya sebagai tag sesi.
-
Jika Anda tidak menggunakan SCIM, Anda harus menambahkan pengguna secara manual dan mengatur atribut mereka seperti jika Anda menggunakan IAM Identity Center sebagai sumber identitas. Selanjutnya, arahkan ke halaman Atribut untuk kontrol akses dan pilih atribut yang ingin Anda gunakan dalam kebijakan.
-
-
Lulus atribut dari IDP Anda melalui pernyataan SAMP. Anda dapat mengonfigurasi IDP Anda untuk mengirim atribut sebagai tag sesi melalui pernyataan SAMP. Untuk melakukan ini, konfigurasikan idP Anda untuk mengirim pernyataan SAMP dengan nama atribut yang disetel
https://aws.amazon.com/SAML/Attributes/AccessControl:, gantiTagKeyTagKeydengan kunci tag sesi yang ingin Anda isi. IAM Identity Center meneruskan nama atribut dan nilai dari IDP melalui evaluasi kebijakan.Tidak perlu mengonfigurasi pemetaan atribut ABAC pada halaman Atribut untuk kontrol akses untuk atribut yang Anda lewatkan melalui pernyataan SAMP dari IDP eksternal Anda. Namun, jika Anda mengonfigurasi pemetaan ABAC untuk atribut yang sama pada halaman Attributes for access control, pemetaan dari direktori Identity Center akan diutamakan dan menggantikan nilai yang dikirim oleh idP Anda dalam pernyataan SAMP.
catatan
Atribut dalam pernyataan SAMP tidak akan terlihat oleh Anda di halaman Atribut untuk kontrol akses. Anda harus mengetahui atribut ini terlebih dahulu dan menambahkannya ke aturan kontrol akses saat Anda membuat kebijakan. Jika Anda memutuskan untuk mempercayai atribut IdPs for eksternal Anda, maka atribut ini akan selalu diteruskan saat pengguna bergabung Akun AWS. Untuk informasi tentang cara mengonfigurasi atribut pengguna untuk kontrol akses di IDP Anda untuk dikirim melalui pernyataan SAMP, lihat untuk IDP Anda. Tutorial sumber identitas Pusat Identitas IAM
Untuk daftar lengkap atribut yang didukung untuk atribut pengguna di Pusat Identitas IAM ke atribut pengguna di eksternal Anda IdPs, lihatAtribut penyedia identitas eksternal yang didukung.
Untuk memulai ABAC di IAM Identity Center, lihat topik berikut.
Topik
