Crea politiche di autorizzazione per ABAC in IAM Identity Center - AWS IAM Identity Center
aws:PrincipalTag chiave di condizione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea politiche di autorizzazione per ABAC in IAM Identity Center

È possibile creare politiche di autorizzazione che determinano chi può accedere alle AWS risorse in base al valore dell'attributo configurato. Quando si abilitano ABAC e si specificano gli attributi, IAM Identity Center trasmette il valore dell'attributo dell'utente autenticato IAM per utilizzarlo nella valutazione delle policy.

aws:PrincipalTag chiave di condizione

È possibile utilizzare gli attributi di controllo dell'accesso nei set di autorizzazioni utilizzando la chiave di aws:PrincipalTag condizione per creare regole di controllo dell'accesso. Ad esempio, nella seguente politica di fiducia è possibile etichettare tutte le risorse dell'organizzazione con i rispettivi centri di costo. È inoltre possibile utilizzare un unico set di autorizzazioni che consente agli sviluppatori di accedere alle risorse dei propri centri di costo. Ora, ogni volta che gli sviluppatori si uniscono all'account utilizzando il Single Sign-On e l'attributo relativo al centro di costo, ottengono l'accesso solo alle risorse dei rispettivi centri di costo. Man mano che il team aggiunge più sviluppatori e risorse al proprio progetto, devi solo etichettare le risorse con il centro di costo corretto. Quindi trasmetti le informazioni sui centri di costo durante la AWS sessione in cui gli sviluppatori si uniscono Account AWS. Di conseguenza, man mano che l'organizzazione aggiunge nuove risorse e gli sviluppatori al centro di costo, gli sviluppatori possono gestire le risorse in linea con i propri centri di costo senza bisogno di aggiornamenti delle autorizzazioni.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Per ulteriori informazioni, consulta aws:PrincipalTage EC2: avvia o interrompi le istanze in base alla corrispondenza dei tag principali e delle risorse nella Guida per l'IAMutente.

Se le politiche contengono attributi non validi nelle relative condizioni, la condizione della politica fallirà e l'accesso verrà negato. Per ulteriori informazioni, consulta Errore «Si è verificato un errore imprevisto» quando un utente tenta di accedere utilizzando un provider di identità esterno.