基于属性的访问控制

基于属性的访问控制（ABAC）是一种授权策略，该策略基于属性来定义权限。您可以使用 IAM Identity Center AWS 账户使用来自任何 IAM Identity Center 身份源的用户属性来管理对多个 AWS 资源的访问权限。在中 AWS，这些属性称为标签。在中使用用户属性作为标签 AWS 可以帮助您简化在中创建细粒度权限的过程， AWS 并确保您的员工只能访问带有匹配标签的 AWS 资源。

例如，您可以将来自两个不同团队的开发人员 Bob 和 Sally 分配到 IAM Identity Center 中的相同权限集，然后选择团队名称属性进行访问控制。当 Bob 和 Sally 登录他们时 AWS 账户，IAM Identity Center 会在 AWS 会话中发送他们的团队名称属性，因此，只有当他们的团队名称属性与 AWS 项目资源上的团队名称标签匹配时，Bob 和 Sally 才能访问项目资源。如果 Bob 将来转到 Sally 的团队，您只需在公司目录中更新他的团队名称属性即可修改他的访问权限。当 Bob 下次登录时，他将自动获得对新团队的项目资源的访问权限，而不需要在 AWS中更新任何权限。

此方法还有助于减少您需要在 IAM Identity Center 中创建和管理的不同权限的数量，因为与相同权限集关联的用户现在可以根据其属性拥有唯一权限。您可以在 IAM Identity Center 权限集和基于资源的策略中使用这些用户属性对 AWS 资源实施 ABAC 并大规模简化权限管理。

优势

以下是在 IAM Identity Center 使用 ABAC 的其他好处。

ABAC 需要更少的权限集 – 由于您不必为不同的工作职能创建不同的策略，因此您创建的权限集更少。这降低了权限管理的复杂性。
使用 ABAC，团队可以快速变化和成长 – 当资源在创建时被适当标记时，系统会根据属性自动授予新资源的权限。
通过 ABAC 使用公司目录中的员工属性 – 您可以使用 IAM Identity Center 中配置的任何身份源中的现有员工属性在 AWS中做出访问控制决策。
跟踪谁在访问资源 — 安全管理员可以通过查看中的用户属性来跟踪中的用户活动， AWS CloudTrail 从而轻松确定会话的身份 AWS。

有关使用 IAM Identity Center 控制台如何配置 ABAC 的信息，请参阅访问控制属性。有关如何使用 IAM 身份中心 API 启用和配置 ABAC 的信息，请参阅 IAM 身份中心 API 参考指南CreateInstanceAccessControlAttributeConfiguration中的。

主题

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

引用资源策略中的权限集、Amazon EKS 和 AWS KMS

清单： AWS 使用 IAM 身份中心配置 ABAC