IAM Identity CenterABAC에서 에 대한 권한 정책 생성

구성된 속성 값을 기반으로 AWS 리소스에 액세스할 수 있는 사용자를 결정하는 권한 정책을 생성할 수 있습니다. 속성을 활성화ABAC하고 지정하면 IAM Identity Center는 정책 평가에 사용할 수 IAM 있도록 인증된 사용자의 속성 값을 에 전달합니다.

aws:PrincipalTag 조건 키

액세스 제어 규칙을 생성하기 위한 aws:PrincipalTag 조건 키를 사용하여 권한 집합의 액세스 제어 속성을 사용할 수 있습니다. 예를 들어 다음 신뢰 정책에서는 조직의 모든 리소스에 해당 비용 센터를 태그할 수 있습니다. 개발자에게 비용 센터 리소스에 대한 액세스 권한을 부여하는 단일 권한 집합을 사용할 수도 있습니다. 이제 개발자는 Single Sign-on 및 비용 센터 속성을 사용하여 계정에 페더레이션할 때마다 해당 비용 센터의 리소스에만 액세스할 수 있습니다. 팀이 프로젝트에 더 많은 개발자와 리소스를 추가함에 따라 리소스에 올바른 비용 센터 태그를 지정하기만 하면 됩니다. 그런 다음 개발자가 AWS 에 페더레이션할 때 세션에서 비용 센터 정보를 전달합니다 AWS 계정. 따라서 조직에서 새 리소스 및 개발자를 비용 센터에 추가하면 개발자는 권한 업데이트 없이 비용 센터에 맞춰 리소스를 관리할 수 있습니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

자세한 내용은 단원을 참조하세요.aws:PrincipalTag 및 EC2: 사용 설명서의 일치하는 보안 주체 및 리소스 태그를 기반으로 인스턴스를 시작하거나 중지합니다. IAM

정책 조건에 잘못된 속성이 포함된 경우 정책 조건은 실패하고 액세스가 거부됩니다. 자세한 내용은 사용자가 외부 ID 공급업체를 통해 로그인하려고 할 때 “예기치 않은 오류가 발생했습니다” 오류가 표시됩니다. 단원을 참조하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

액세스 제어의 속성 비활성화

IAM 자격 증명 공급자 복구