Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Abilita e configura gli attributi per il controllo degli accessi
Per utilizzarlo ABAC in tutti i casi, è necessario innanzitutto abilitare l'ABACutilizzo della console IAM Identity Center o dell'IAMIdentity CenterAPI. Se si sceglie di utilizzare IAM Identity Center per selezionare gli attributi, si utilizza la pagina Attributi per il controllo degli accessi nella console di IAM Identity Center o nell'IAMIdentity CenterAPI. Se utilizzi un provider di identità esterno (IdP) come origine di identità e scegli di inviare gli attributi tramite SAML le asserzioni, configuri il tuo IdP per passare gli attributi. Se un'SAMLasserzione supera uno di questi attributi, IAM Identity Center sostituirà il valore dell'attributo con il valore dell'archivio di IAM identità di Identity Center. Solo gli attributi configurati in IAM Identity Center verranno inviati per prendere decisioni sul controllo degli accessi quando gli utenti si federano nei propri account.
Nota
Non è possibile visualizzare gli attributi configurati e inviati da un IdP esterno dalla pagina Attributi per il controllo degli accessi nella console di IAM Identity Center. Se stai passando gli attributi di controllo dell'accesso nelle SAML asserzioni dal tuo IdP esterno, tali attributi vengono inviati direttamente a quando Account AWS gli utenti si federano. Gli attributi non saranno disponibili in IAM Identity Center per la mappatura.
Abilita gli attributi per il controllo degli accessi
Utilizzare la procedura seguente per abilitare la funzionalità di controllo degli attributi per l'accesso (ABAC) utilizzando la console IAM Identity Center.
Nota
Se disponi di set di autorizzazioni esistenti e prevedi di attivarli ABAC nella tua istanza di IAM Identity Center, ulteriori restrizioni di sicurezza richiedono che tu disponga innanzitutto della iam:UpdateAssumeRolePolicy policy. Queste restrizioni di sicurezza aggiuntive non sono necessarie se non hai creato alcun set di autorizzazioni nel tuo account.
Per abilitare gli attributi per il controllo degli accessi
-
Aprire la console IAM Identity Center
. -
Scegli Impostazioni
-
Nella pagina Impostazioni, individua la casella Attributi per le informazioni sul controllo di accesso, quindi scegli Abilita. Prosegui con la procedura successiva per configurarlo.
Seleziona i tuoi attributi
Utilizzate la procedura seguente per impostare gli attributi per la ABAC configurazione.
Per selezionare gli attributi utilizzando la console IAM Identity Center
-
Aprire la console IAM Identity Center
. -
Scegli Impostazioni
-
Nella pagina Impostazioni, scegli la scheda Attributi per il controllo degli accessi, quindi scegli Gestisci attributi.
-
Nella pagina Attributi per il controllo degli accessi, scegli Aggiungi attributo e inserisci i dettagli della chiave e del valore. È qui che mapperai l'attributo proveniente dalla tua fonte di identità a un attributo che IAM Identity Center passa come tag di sessione.
La chiave rappresenta il nome che si sta assegnando all'attributo da utilizzare nelle politiche. Può essere qualsiasi nome arbitrario, ma è necessario specificare quel nome esatto nelle politiche create per il controllo degli accessi. Ad esempio, supponiamo che tu stia utilizzando Okta (un IdP esterno) come fonte di identità e che sia necessario trasmettere i dati del centro di costo dell'organizzazione come tag di sessione. In Key, inseriresti un nome simile CostCentera quello della tua chiave. È importante notare che qualunque nome tu scelga qui, deve avere lo stesso nome nel tuo
Chiave di condizione aws:PrincipalTag(ovvero,"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}").Nota
Usa un attributo a valore singolo per la tua chiave, ad esempio.
ManagerIAMIdentity Center non supporta attributi multivalore perABAC, ad esempio,.Manager, IT SystemsIl valore rappresenta il contenuto dell'attributo proveniente dalla fonte di identità configurata. Qui puoi inserire qualsiasi valore dalla tabella di origine dell'identità appropriata elencata inMappature degli attributi per le directory AWS Managed Microsoft AD. Ad esempio, utilizzando il contesto fornito nell'esempio precedente, esamineresti l'elenco degli attributi IdP supportati e stabiliresti che sarebbe
${path:enterprise.costCenter}la corrispondenza più vicina a un attributo supportato, quindi lo inseriresti nel campo Valore. Vedi lo screenshot fornito sopra come riferimento. Nota che non puoi utilizzare valori di attributi IdP esterni al di fuori di questo elenco ABAC a meno che non utilizzi l'opzione di passare gli attributi tramite l'SAMLasserzione. -
Scegli Save changes (Salva modifiche).
Ora che hai configurato la mappatura degli attributi di controllo degli accessi, devi completare il ABAC processo di configurazione. A tale scopo, crea ABAC le tue regole e aggiungile ai set di autorizzazioni e/o alle politiche basate sulle risorse. Ciò è necessario per consentire alle identità degli utenti di accedere alle risorse. AWS Per ulteriori informazioni, consulta Crea politiche di autorizzazione per ABAC in IAM Identity Center.
Disabilitazione di attributi per il controllo degli accessi
Utilizzare la procedura seguente per disabilitare la ABAC funzionalità ed eliminare tutte le mappature degli attributi che sono state configurate.
Per disabilitare gli attributi per il controllo degli accessi
-
Aprire la console IAM Identity Center
. -
Scegli Impostazioni
-
Nella pagina Impostazioni, scegli la scheda Attributi per il controllo degli accessi, quindi scegli Disabilita.
-
Nella finestra di dialogo Disabilita gli attributi per il controllo degli accessi, rivedi le informazioni e, quando sei prontoDELETE, inserisci, quindi scegli Conferma.
Importante
Questo passaggio elimina tutti gli attributi che sono stati configurati. Una volta eliminati, gli attributi ricevuti da un'origine di identità e gli attributi personalizzati precedentemente configurati non verranno passati.
