アクセスコントロールの属性 - AWS IAM Identity Center
使用開始

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセスコントロールの属性

アクセスコントロールの属性は、 IAM Identity Center コンソールのページの名前です。このページでは、 リソースへのアクセスを制御するために ポリシーで使用するユーザー属性を選択します。ユーザーの ID ソースの既存の属性 AWS に基づいて、 のワークロードにユーザーを割り当てることができます。

例えば、部署名に基づいて S3 バケットへのアクセスを割り当てたいとします。アクセスコントロールの属性ページで、属性ベースのアクセスコントロール () で使用する部門ユーザー属性を選択しますABAC。IAM アイデンティティセンターのアクセス許可セットでは、部門属性が S3 バケットに割り当てた部門タグと一致する場合にのみ、ユーザーにアクセス権を付与するポリシーを記述します。 IAMIdentity Center は、ユーザーの department 属性をアクセス対象のアカウントに渡す。そして、その属性は、ポリシーに基づいてアクセスを決定するために使用されます。ABAC の詳細については、「属性ベースのアクセスコントロール」を参照してください。

使用開始

アクセスコントロールの属性設定をどのように始めるかは、使用している ID ソースによって異なります。選択した ID ソースにかかわらず、属性を選択した後、アクセス権限セットのポリシーを作成または編集する必要があります。これらのポリシーは、ユーザーの ID に AWS リソースへのアクセスを許可する必要があります。

IAM Identity Center を ID ソースとして使用する場合の属性の選択

IAM Identity Center を ID ソースとして設定するときは、まずユーザーを追加し、その属性を設定します。次に、[Attributes for access control] (アクセスコントロールの属性) ページに移動して、ポリシーで使用する属性を選択します。最後に、AWS アカウントページに移動して、 の属性を使用するアクセス許可セットを作成または編集しますABAC。

AWS Managed Microsoft AD を ID ソースとして使用する際の属性を選択する

を IAM ID ソース AWS Managed Microsoft AD として Identity Center を設定するときは、まず Active Directory から IAM Identity Center のユーザー属性に一連の属性をマッピングします。次に、[Attributes for access control] (アクセスコントロールの属性) のページに移動します。次に、Active Directory からマッピングされた既存の属性セットに基づいて、ABAC設定で使用するSSO属性を選択します。最後に、アクセス許可セットのアクセスコントロール属性を使用してABACルールを作成し、ユーザー ID に リソースへのアクセス AWS を許可します。IAM Identity Center のユーザー属性と AWS Managed Microsoft AD ディレクトリのユーザー属性のデフォルトマッピングのリストについては、「」を参照してくださいデフォルトのマッピング

外部 ID プロバイダーを ID ソースとして使用する際の属性を選択する

外部 ID プロバイダー (IdP) を ID ソースとして IAM Identity Center を設定する場合、 の属性を使用する方法は 2 つありますABAC。

  • SAML アサーションを介して属性を送信するように IdP を設定できます。この場合、 IAM Identity Center はポリシー評価のために IdP から を通じて属性名と値を渡します。

    注記

    SAML アサーションの属性は、アクセスコントロールの属性ページには表示されません。これらの属性を事前に把握しておき、ポリシー作成時にアクセスコントロールルールに追加する必要があります。属性 IdPs に対して外部 を信頼する場合、ユーザーがフェデレーションするときに、これらの属性は常に渡されます AWS アカウント。同じ属性が SAMLと を介して IAM Identity Center に届くシナリオではSCIM、アクセスコントロールの決定でSAML属性値が優先されます。

  • IAM Identity Center コンソールのアクセスコントロールの属性ページから、使用する属性を設定できます。ここで選択した属性値は、アサーションを介して IdP から取得された値と一致する属性値に置き換えます。を使用しているかどうかに応じてSCIM、次の点を考慮してください。

    • を使用する場合SCIM、IdP は自動的に属性値を IAM Identity Center に同期します。アクセスコントロールに必要な追加の属性は、SCIM属性のリストにない場合があります。その場合は、IdP の IT 管理者と協力して、必要なhttps://aws.amazon.com/SAML/Attributes/AccessControl:プレフィックスを使用したSAMLアサーションを介して IAM Identity Center にそのような属性を送信することを検討してください。SAML アサーションを介して送信するように IdP でアクセスコントロールのユーザー属性を設定する方法については、IdP IAM Identity Center の ID ソースに関するチュートリアルの「」を参照してください。

    • を使用していない場合はSCIM、IAMIdentity Center を ID ソースとして使用しているかのように、ユーザーを手動で追加して属性を設定する必要があります。次に、[Attributes for access control] (アクセスコントロールの属性) ページに移動して、ポリシーで使用する属性を選択します。

IAM Identity Center のユーザー属性と外部 のユーザー属性でサポートされている属性の完全なリストについては IdPs、「」を参照してくださいサポートされている外部 ID プロバイダ属性

IAM Identity Center ABACで の使用を開始するには、以下のトピックを参照してください。

トピック