IAM Identity CenterABAC에서 에 대한 권한 정책 생성 - AWS IAM Identity Center

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Identity CenterABAC에서 에 대한 권한 정책 생성

구성된 속성 값을 기반으로 AWS 리소스에 액세스할 수 있는 사용자를 결정하는 권한 정책을 생성할 수 있습니다. 속성을 활성화ABAC하고 지정하면 IAM Identity Center는 정책 평가에 사용할 수 IAM 있도록 인증된 사용자의 속성 값을 에 전달합니다.

aws:PrincipalTag 조건 키

액세스 제어 규칙을 생성하기 위한 aws:PrincipalTag 조건 키를 사용하여 권한 집합의 액세스 제어 속성을 사용할 수 있습니다. 예를 들어 다음 신뢰 정책에서는 조직의 모든 리소스에 해당 비용 센터를 태그할 수 있습니다. 개발자에게 비용 센터 리소스에 대한 액세스 권한을 부여하는 단일 권한 집합을 사용할 수도 있습니다. 이제 개발자는 Single Sign-on 및 비용 센터 속성을 사용하여 계정에 페더레이션할 때마다 해당 비용 센터의 리소스에만 액세스할 수 있습니다. 팀이 프로젝트에 더 많은 개발자와 리소스를 추가함에 따라 리소스에 올바른 비용 센터 태그를 지정하기만 하면 됩니다. 그런 다음 개발자가 AWS 에 페더레이션할 때 세션에서 비용 센터 정보를 전달합니다 AWS 계정. 따라서 조직에서 새 리소스 및 개발자를 비용 센터에 추가하면 개발자는 권한 업데이트 없이 비용 센터에 맞춰 리소스를 관리할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}" } } } ] }

자세한 내용은 단원을 참조하세요.aws:PrincipalTagEC2: 사용 설명서의 일치하는 보안 주체 및 리소스 태그를 기반으로 인스턴스를 시작하거나 중지합니다. IAM

정책 조건에 잘못된 속성이 포함된 경우 정책 조건은 실패하고 액세스가 거부됩니다. 자세한 내용은 사용자가 외부 ID 공급업체를 통해 로그인하려고 할 때 “예기치 않은 오류가 발생했습니다” 오류가 표시됩니다. 단원을 참조하십시오.