Attributi per il controllo degli accessi

Attributi per il controllo degli accessi è il nome della pagina nella console di IAM Identity Center in cui si selezionano gli attributi utente da utilizzare nelle politiche per controllare l'accesso alle risorse. È possibile assegnare utenti ai carichi di lavoro in AWS base agli attributi esistenti nella fonte di identità degli utenti.

Ad esempio, supponiamo di voler assegnare l'accesso ai bucket S3 in base ai nomi dei reparti. Nella pagina Attributi per il controllo degli accessi, si seleziona l'attributo utente Department da utilizzare con il controllo degli accessi basato sugli attributi (). ABAC Nel set di autorizzazioni IAM Identity Center, scrivi quindi una politica che concede agli utenti l'accesso solo quando l'attributo Department corrisponde al tag department che hai assegnato ai tuoi bucket S3. IAM Identity Center passa l'attributo del dipartimento dell'utente all'account a cui si accede. L'attributo viene quindi utilizzato per determinare l'accesso in base alla politica. Per ulteriori informazioni su ABAC, consulta Controllo dell'accesso basato sugli attributi.

Nozioni di base

Il modo in cui si inizia a configurare gli attributi per il controllo degli accessi dipende dalla fonte di identità utilizzata. Indipendentemente dalla fonte di identità scelta, dopo aver selezionato gli attributi è necessario creare o modificare le politiche relative ai set di autorizzazioni. Queste politiche devono concedere alle identità degli utenti l'accesso alle AWS risorse.

Scelta degli attributi quando si utilizza IAM Identity Center come fonte di identità

Quando configuri IAM Identity Center come fonte di identità, devi prima aggiungere utenti e configurarne gli attributi. Successivamente, vai alla pagina Attributi per il controllo degli accessi e seleziona gli attributi che desideri utilizzare nelle politiche. Infine, vai alla Account AWSpagina per creare o modificare i set di autorizzazioni per cui utilizzare gli attributiABAC.

Scelta degli attributi AWS Managed Microsoft AD da utilizzare come fonte di identità

Quando si configura IAM Identity Center AWS Managed Microsoft AD come fonte di identità, è innanzitutto necessario mappare un set di attributi da Active Directory agli attributi utente in IAM Identity Center. Successivamente, vai alla pagina Attributi per il controllo degli accessi. Scegliete quindi quali attributi utilizzare nella ABAC configurazione in base al set esistente di SSO attributi mappati da Active Directory. Infine, crea ABAC regole che utilizzano gli attributi di controllo dell'accesso nei set di autorizzazioni per concedere alle identità degli utenti l'accesso alle AWS risorse. Per un elenco delle mappature predefinite degli attributi utente in IAM Identity Center agli attributi utente nella AWS Managed Microsoft AD directory, vedere. Mappature predefinite

Scelta degli attributi quando si utilizza un provider di identità esterno come fonte di identità

Quando si configura IAM Identity Center con un provider di identità esterno (IdP) come origine dell'identità, esistono due modi per utilizzare gli attributi. ABAC

Puoi configurare il tuo IdP per inviare gli attributi tramite SAML asserzioni. In questo caso, IAM Identity Center trasmette il nome e il valore dell'attributo dall'IdP per la valutazione delle policy.

Nota
Gli attributi nelle SAML asserzioni non saranno visibili all'utente nella pagina Attributi per il controllo degli accessi. Dovrai conoscere questi attributi in anticipo e aggiungerli alle regole di controllo degli accessi quando crei le politiche. Se decidi di affidarti IdPs agli attributi esterni, questi attributi verranno sempre trasmessi quando gli utenti si uniscono Account AWS. Negli scenari in cui gli stessi attributi arrivano a IAM Identity Center tramite SAML eSCIM, il valore SAML degli attributi ha la precedenza nelle decisioni sul controllo degli accessi.
È possibile configurare gli attributi da utilizzare dalla pagina Attributi per il controllo degli accessi nella console di IAM Identity Center. I valori degli attributi che scegli qui sostituiscono i valori per tutti gli attributi corrispondenti che provengono da un IdP tramite un'asserzione. A seconda che tu stia utilizzandoSCIM, considera quanto segue:
- Se utilizzatoSCIM, l'IdP sincronizza automaticamente i valori degli attributi in IAM Identity Center. Gli attributi aggiuntivi necessari per il controllo dell'accesso potrebbero non essere presenti nell'elenco degli SCIM attributi. In tal caso, prendi in considerazione la possibilità di collaborare con l'amministratore IT del tuo IdP per inviare tali attributi IAM a Identity Center SAML tramite asserzioni utilizzando il prefisso richiesto. https://aws.amazon.com/SAML/Attributes/AccessControl: Per informazioni su come configurare gli attributi utente per il controllo degli accessi nel tuo IdP da inviare tramite SAML asserzioni, consulta la sezione dedicata al IAMTutorial sui sorgenti di Identity Center Identity tuo IdP.
- Se non lo utilizziSCIM, devi aggiungere manualmente gli utenti e impostarne gli attributi proprio come se stessi utilizzando IAM Identity Center come fonte di identità. Successivamente, vai alla pagina Attributi per il controllo dell'accesso e scegli gli attributi che desideri utilizzare nelle politiche.

Per un elenco completo degli attributi utente supportati dagli attributi utente in IAM Identity Center agli attributi utente esterni IdPs, consultaAttributi del provider di identità esterno supportati.

Per iniziare ABAC a usare IAM Identity Center, consulta i seguenti argomenti.

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Elenco di controllo: Configurazione AWS tramite ABAC Identity Center IAM

Abilita e configura gli attributi per il controllo degli accessi