Atributos para controle de acesso

Atributos para controle de acesso é o nome da página no console do IAM Identity Center em que você seleciona os atributos do usuário que deseja usar nas políticas para controlar o acesso aos recursos. Você pode atribuir usuários às cargas de trabalho AWS com base nos atributos existentes na fonte de identidade dos usuários.

Por exemplo, suponha que você deseje atribuir acesso aos buckets do S3 com base nos nomes de departamento. Na página Atributos para controle de acesso, você seleciona o atributo de usuário Departamento para uso com controle de acesso baseado em atributos ()ABAC. No conjunto de permissões do IAM Identity Center, você então escreve uma política que concede acesso aos usuários somente quando o atributo Departamento corresponde à etiqueta de departamento que você atribuiu aos seus buckets do S3. IAM O Identity Center passa o atributo de departamento do usuário para a conta que está sendo acessada. O atributo é então usado para determinar o acesso com base na política. Para obter mais informações sobre o ABAC, consulte Controle de acesso baseado em atributos.

Conceitos básicos

A forma como você começa a configurar atributos para controle de acesso depende da origem de identidade que você está usando. Independentemente da origem de identidade escolhida, depois de selecionar seus atributos, você precisa criar ou editar políticas de conjunto de permissões. Essas políticas devem conceder às identidades dos usuários acesso aos recursos AWS .

Escolhendo atributos ao usar o IAM Identity Center como sua fonte de identidade

Ao configurar o IAM Identity Center como a fonte de identidade, primeiro você adiciona usuários e configura seus atributos. Em seguida, navegue até a página Atributos para controle de acesso e selecione os atributos que você deseja usar nas políticas. Por fim, navegue até a Contas da AWSpágina para criar ou editar conjuntos de permissões para os quais usar os atributosABAC.

Escolha de atributos ao usar AWS Managed Microsoft AD como origem de identidade

Ao configurar o IAM Identity Center AWS Managed Microsoft AD como sua fonte de identidade, primeiro mapeie um conjunto de atributos do Active Directory para os atributos do usuário no IAM Identity Center. Em seguida, navegue até a página Atributos para controle de acesso. Em seguida, escolha quais atributos usar em sua ABAC configuração com base no conjunto existente de SSO atributos mapeados do Active Directory. Por fim, crie ABAC regras usando os atributos de controle de acesso nos conjuntos de permissões para conceder às identidades dos usuários acesso aos AWS recursos. Para obter uma lista dos mapeamentos padrão dos atributos do usuário no IAM Identity Center para os atributos do usuário em seu AWS Managed Microsoft AD diretório, consulte. Mapeamentos padrão

Escolher atributos ao usar um provedor de identidade externo como origem de identidade

Quando você configura o IAM Identity Center com um provedor de identidade externo (IdP) como sua fonte de identidade, há duas maneiras de usar atributos para. ABAC

Você pode configurar seu IdP para enviar os atributos por meio SAML de afirmações. Nesse caso, o IAM Identity Center passa o nome e o valor do atributo do IdP para avaliação da política.

nota
Os atributos nas SAML afirmações não estarão visíveis para você na página Atributos para controle de acesso. Você precisará conhecer esses atributos com antecedência e adicioná-los às regras de controle de acesso ao criar políticas. Se você decidir confiar em seus atributos externos IdPs , esses atributos sempre serão transmitidos quando os usuários se federarem Contas da AWS. Em cenários em que os mesmos atributos estão chegando ao IAM Identity Center por meio de SAML eSCIM, o valor dos SAML atributos tem precedência nas decisões de controle de acesso.
Você pode configurar quais atributos usar na página Atributos para controle de acesso no console do IAM Identity Center. Os valores de atributos escolhidos aqui substituem os valores de qualquer atributo correspondente proveniente de um IdP por meio de uma declaração. Dependendo se você estiver usandoSCIM, considere o seguinte:
- Se estiver usandoSCIM, o IdP sincroniza automaticamente os valores dos atributos no Identity Center. IAM Atributos adicionais necessários para o controle de acesso podem não estar presentes na lista de SCIM atributos. Nesse caso, considere colaborar com o administrador de TI em seu IdP para enviar esses atributos IAM ao Identity Center SAML por meio de afirmações usando o prefixo necessário. https://aws.amazon.com/SAML/Attributes/AccessControl: Para obter informações sobre como configurar atributos de usuário para controle de acesso em seu IdP para envio por meio de SAML asserções, consulte para Tutoriais sobre fontes de identidades do IAM Identity Center seu IdP.
- Se você não estiver usandoSCIM, deverá adicionar manualmente os usuários e definir seus atributos como se estivesse usando o IAM Identity Center como fonte de identidade. Em seguida, navegue até a página Atributos para controle de acesso e escolha os atributos que você deseja usar nas políticas.

Para obter uma lista completa dos atributos do usuário suportados no IAM Identity Center e os atributos do usuário no seu externo IdPs, consulteAtributos de provedor de identidade externo compatíveis.

Para começar a usar o ABAC IAM Identity Center, consulte os tópicos a seguir.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Lista de verificação: Configurando AWS usando IAM o ABAC Identity Center

Habilite e configure atributos para controle de acesso