Membuat kebijakan izin untuk ABAC di Pusat IAM Identitas - AWS IAM Identity Center
aws:PrincipalTag kunci kondisi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kebijakan izin untuk ABAC di Pusat IAM Identitas

Anda dapat membuat kebijakan izin yang menentukan siapa yang dapat mengakses AWS sumber daya Anda berdasarkan nilai atribut yang dikonfigurasi. Saat Anda mengaktifkan ABAC dan menentukan atribut, Pusat IAM Identitas meneruskan nilai atribut pengguna yang diautentikasi IAM untuk digunakan dalam evaluasi kebijakan.

aws:PrincipalTag kunci kondisi

Anda dapat menggunakan atribut kontrol akses dalam set izin menggunakan kunci aws:PrincipalTag kondisi untuk membuat aturan kontrol akses. Misalnya, dalam kebijakan kepercayaan berikut, Anda dapat menandai semua sumber daya di organisasi Anda dengan pusat biaya masing-masing. Anda juga dapat menggunakan satu set izin yang memberi pengembang akses ke sumber daya pusat biaya mereka. Sekarang, setiap kali pengembang bergabung ke akun menggunakan sistem masuk tunggal dan atribut pusat biaya mereka, mereka hanya mendapatkan akses ke sumber daya di pusat biaya masing-masing. Saat tim menambahkan lebih banyak pengembang dan sumber daya ke proyek mereka, Anda hanya perlu menandai sumber daya dengan pusat biaya yang benar. Kemudian Anda meneruskan informasi pusat biaya di AWS sesi saat pengembang bergabung Akun AWS. Akibatnya, ketika organisasi menambahkan sumber daya dan pengembang baru ke pusat biaya, pengembang dapat mengelola sumber daya yang selaras dengan pusat biaya mereka tanpa memerlukan pembaruan izin apa pun.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Untuk informasi selengkapnya, silakan lihat aws:PrincipalTagdan EC2: Memulai atau menghentikan instance berdasarkan pencocokan tag utama dan sumber daya di Panduan IAM Pengguna.

Jika kebijakan berisi atribut yang tidak valid dalam kondisinya, maka kondisi kebijakan akan gagal dan akses akan ditolak. Untuk informasi selengkapnya, lihat Kesalahan 'Kesalahan tak terduga telah terjadi' ketika pengguna mencoba masuk menggunakan penyedia identitas eksternal.