IAMtutorial: Usa i tag SAML di sessione per ABAC - AWS Identity and Access Management
PrerequisitiFase 1: creazione degli utenti di testFase 2: Creare la politica ABACFase 3: Creare e configurare il SAML ruoloFase 4: verifica della creazione di segretiFase 5: verifica della visualizzazione dei segretiFase 6: verifica della scalabilitàFase 7: verifica dell'aggiornamento e dell'eliminazione dei segretiRiepilogo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMtutorial: Usa i tag SAML di sessione per ABAC

Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In AWS, questi attributi sono chiamati tag. È possibile allegare tag alle IAM risorse, incluse IAM le entità (utenti o ruoli) e alle AWS risorse. Quando le entità vengono utilizzate per effettuare richieste a AWS, diventano principali e tali entità includono i tag.

È inoltre possibile passare i tag di sessione quando si assume un ruolo o si federa un utente. È quindi possibile definire policy che utilizzano le chiavi condizionali sui tag per concedere autorizzazioni alle entità sulla base dei relativi tag. Quando si utilizzano i tag per controllare l'accesso alle risorse AWS , si consente ai team e alle risorse di crescere con la necessità di un minor numero di modifiche alle policy AWS . ABACle politiche sono più flessibili delle AWS politiche tradizionali, che richiedono di elencare ogni singola risorsa. Per ulteriori informazioni ABAC e sui relativi vantaggi rispetto alle politiche tradizionali, vedereDefinizione delle autorizzazioni in base agli attributi con ABAC autorizzazione.

Se la tua azienda utilizza un provider di identità SAML basato (IdP) per gestire le identità degli utenti aziendali, puoi utilizzare SAML gli attributi per un controllo granulare degli accessi. AWS Gli attributi possono includere identificatori del centro di costo, indirizzi e-mail degli utenti, reparti di appartenenza e assegnazioni di progetto. Quando si passano questi attributi come tag di sessione, è quindi possibile controllare l'accesso ad AWS in base a tali tag di sessione.

Per completare il ABACtutorial passando SAML gli attributi al principale della sessione, completa le attività inIAMtutorial: Definisci le autorizzazioni per accedere alle AWS risorse in base ai tag, con le modifiche incluse in questo argomento.

Prerequisiti

Per eseguire i passaggi per cui utilizzare i tag di SAML sessioneABAC, è necessario disporre già di quanto segue:

  • Accesso a un IdP SAML basato su cui è possibile creare utenti di test con attributi specifici.

  • La possibilità di effettuare l'accesso come utente con autorizzazioni di amministratore.

  • Prova a creare e modificare IAM utenti, ruoli e politiche in. AWS Management Console Tuttavia, se hai bisogno di aiuto per ricordare un processo di IAM gestione, il ABAC tutorial fornisce collegamenti in cui puoi visualizzare step-by-step le istruzioni.

  • Esperienza nella configurazione di un IdP SAML basato su. IAM Per visualizzare ulteriori dettagli e collegamenti alla IAM documentazione dettagliata, vederePassare i tag di sessione utilizzando AssumeRoleWith SAML.

Fase 1: creazione degli utenti di test

Seguire le istruzioni in Fase 1: creazione degli utenti di test. Poiché le identità sono definite nel provider, non è necessario aggiungere IAM utenti per i dipendenti.

Fase 2: Creare la politica ABAC

Segui le istruzioni riportate in Fase 2: Creare la politica ABAC per creare la politica gestita specificata inIAM.

Fase 3: Creare e configurare il SAML ruolo

Quando utilizzi il ABAC tutorial perSAML, devi eseguire passaggi aggiuntivi per creare il ruolo, configurare l'SAMLIdP e abilitare AWS Management Console l'accesso. Per ulteriori informazioni, consulta Fase 3: creazione di ruoli.

Fase 3A: Creare il ruolo SAML

Crea un singolo ruolo che si fidi del tuo provider di SAML identità e dell'test-session-tagsutente che hai creato nel passaggio 1. Il ABAC tutorial utilizza ruoli separati con tag di ruolo diversi. Poiché stai passando i tag di sessione dal tuo SAML IdP, ti serve un solo ruolo. Per informazioni su come creare un ruolo SAML basato, consultaCreare un ruolo per la federazione SAML 2.0 (console).

Denomina il ruolo access-session-tags. Collegare la policy di autorizzazione access-same-project-team al ruolo. Modificare la policy di trust al fine di utilizzare la policy riportata di seguito. Per istruzioni dettagliate su come modificare la relazione di trust di un ruolo, consulta Aggiornare una politica di attendibilità dei ruoli .

La seguente politica di attendibilità dei ruoli consente al provider di SAML identità e all'test-session-tagsutente di assumere il ruolo. Al momento dell'assunzione del ruolo, è necessario passare i tre tag di sessione specificati. L'operazione sts:TagSession è necessaria per consentire il passaggio dei tag di sessione.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSamlIdentityAssumeRole",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRoleWithSAML",
                "sts:TagSession"
            ],
            "Principal": {"Federated":"arn:aws:iam::123456789012:saml-provider/ExampleCorpProvider"},
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/cost-center": "*",
                    "aws:RequestTag/access-project": "*",
                    "aws:RequestTag/access-team": [
                        "eng",
                        "qas"
                    ]
                },
                "StringEquals": {"SAML:aud": "https://signin.aws.amazon.com/saml"}
            }
        }
    ]
}

La AllowSamlIdentityAssumeRole dichiarazione consente ai membri dei team di ingegneria e controllo qualità di assumere questo ruolo quando si uniscono all'Example Corporation AWS IdP. Il ExampleCorpProvider SAML provider è definito in. IAM L'amministratore ha già impostato l'SAMLasserzione per passare i tre tag di sessione richiesti. L'asserzione può passare tag aggiuntivi, ma questi tre devono essere presenti. Gli attributi dell'identità possono presentare qualsiasi valore per i tag access-project e cost-center. Tuttavia, il valore dell'attributo access-team deve corrispondere a eng o qas a indicare che l'identità corrisponde al team di Engineering o di Quality Assurance.

Fase 3B: Configurazione dell'SAMLIdP

Configura il tuo SAML IdP per passare gli access-team attributi cost-centeraccess-project, e come tag di sessione. Per ulteriori informazioni, consulta Passare i tag di sessione utilizzando AssumeRoleWith SAML.

Per passare questi attributi come tag di sessione, includi i seguenti elementi nell'SAMLasserzione.

<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:cost-center">
  <AttributeValue>987654</AttributeValue>
</Attribute>
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:access-project">
  <AttributeValue>peg</AttributeValue>
</Attribute>
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:access-team">
  <AttributeValue>eng</AttributeValue>
</Attribute>

Fase 3C: attivazione dell'accesso alla console

Abilita l'accesso alla console per i tuoi utenti federati. SAML Per ulteriori informazioni, consulta Consentire agli utenti federati SAML 2.0 di accedere a AWS Management Console.

Fase 4: verifica della creazione di segreti

Unisciti all' AWS Management Console utilizzo del access-session-tags ruolo. Per ulteriori informazioni, consulta Consentire agli utenti federati SAML 2.0 di accedere a AWS Management Console. Quindi seguire le istruzioni in Fase 4: verifica della creazione di segreti per creare segreti. Usa SAML identità diverse con attributi corrispondenti ai tag indicati nel ABAC tutorial. Per ulteriori informazioni, consulta Fase 4: verifica della creazione di segreti.

Fase 5: verifica della visualizzazione dei segreti

Seguire le istruzioni descritte in Fase 5: verifica della visualizzazione dei segreti per visualizzare i segreti creati nel passaggio precedente. Usa SAML identità diverse con attributi in modo che corrispondano ai tag indicati nel ABAC tutorial.

Fase 6: verifica della scalabilità

Seguire le istruzioni descritte in Fase 6: verifica della scalabilità per testare la scalabilità. A tale scopo, aggiungi una nuova identità nel tuo IdP SAML basato con i seguenti attributi:

  • cost-center = 101010

  • access-project = cen

  • access-team = eng

Fase 7: verifica dell'aggiornamento e dell'eliminazione dei segreti

Seguire le istruzioni descritte in Fase 7: verifica dell'aggiornamento e dell'eliminazione dei segreti per aggiornare ed eliminare i segreti. Usa SAML identità diverse con attributi corrispondenti ai tag indicati nel ABAC tutorial.

Importante

Eliminare tutti i segreti creati per evitare addebiti in fattura. Per informazioni sui prezzi di Secrets Manager, consulta Prezzi di AWS Secrets Manager.

Riepilogo

Ora hai completato con successo tutti i passaggi necessari per utilizzare i tag di SAML sessione e i tag delle risorse per la gestione delle autorizzazioni.

Nota

L'utente ha aggiunto policy che consentono operazioni solo in condizioni specifiche. Se si applica un criterio diverso agli utenti o ai ruoli con autorizzazioni più ampie, è possibile che le azioni non siano limitate a richiedere l'assegnazione di tag. Ad esempio, se concedi a un utente autorizzazioni amministrative complete utilizzando la politica AdministratorAccess AWS gestita, tali politiche non limiteranno tale accesso. Per ulteriori informazioni su come vengono determinate le autorizzazioni quando sono coinvolte più policy, vedere In che modo la logica del codice di AWS applicazione valuta le richieste di consentire o negare l'accesso.