访问控制属性
访问控制属性是 IAM Identity Center 控制台中的页面名称,您可以在其中选择要在策略中使用的用户属性来控制对资源的访问。您可以根据用户身份源中的现有属性将用户分配到 AWS 中的工作负载。
例如,假设您想要根据部门名称分配对 S3 桶的访问权限。在访问控制属性页面上,您可以选择部门用户属性以与基于属性的访问权限控制(ABAC)结合使用。然后,您可以在 IAM Identity Center 权限集中编写一个策略,仅当部门属性与您分配给 S3 桶的部门标签匹配时才授予用户访问权限。IAM Identity Center 将用户的部门属性传递给正在访问的帐户。然后,该属性用于根据策略确定访问。有关 ABAC 的更多信息,请参阅基于属性的访问控制。
开始使用
如何开始配置访问控制属性取决于您使用的身份源。无论您选择哪种身份源,在选择属性后,您都需要创建或编辑权限集策略。这些策略必须授予用户身份访问 AWS 资源的权限。
使用 IAM Identity Center 作为身份源时选择属性
当您将 IAM Identity Center 配置为身份源时,您首先添加用户并配置其属性。接下来,导航到访问控制的属性页面,然后选择要在策略中使用的属性。最后,导航到 AWS 账户 页面以创建或编辑权限集以使用 ABAC 的属性。
使用 AWS Managed Microsoft AD 作为身份源时选择属性
当您使用 AWS Managed Microsoft AD 作为身份源配置 IAM Identity Center 时,您首先将一组属性从 Active Directory 映射到 IAM Identity Center 中的用户属性。接下来,导航到访问控制的属性页面。然后,根据从 Active Directory 映射的现有 SSO 属性集选择要在 ABAC 配置中使用的属性。最后,作者使用权限集中的访问控制属性来编写 ABAC 规则,以授予用户身份对 AWS 资源的访问权限。有关 IAM Identity Center 中的用户属性到您的 AWS Managed Microsoft AD 目录中的用户属性的默认映射的列表,请参阅 默认映射。
使用外部身份提供者作为身份源时选择属性
当您使用外部身份提供者(IdP)作为身份源配置 IAM Identity Center 时,有两种方法可以使用 ABAC 的属性。
-
您可以将 IdP 配置为通过 SAML 断言发送属性。在这种情况下,IAM Identity Center 会传递来自 IdP 的属性名称和值以进行策略评估。
注意
SAML 断言中的属性在访问控制属性页面上对您不可见。您必须提前了解这些属性,并在编写策略时将它们添加到访问控制规则中。如果您决定信任外部 IdP 的属性,那么当用户对 AWS 账户 进行联合身份验证时,这些属性将始终被传递。在相同属性通过 SAML 和 SCIM 传入 IAM Identity Center 的情景中,SAML 属性值在访问控制决策中具有优先级。
-
您可以从 IAM Identity Center 控制台的访问控制属性页面配置要使用的属性。您在此处选择的属性值将替换通过断言来自 IdP 的任何匹配属性的值。根据您是否使用 SCIM,请考虑以下事项:
-
如果使用 SCIM,IdP 会自动将属性值同步到 IAM Identity Center。SCIM 属性列表中可能不存在访问控制所需的其他属性。在这种情况下,请考虑与 IdP 中的 IT 管理员合作,使用所需的
https://aws.amazon.com/SAML/Attributes/AccessControl:
前缀通过 SAML 断言将此类属性发送到 IAM Identity Center。有关如何在 IdP 中配置进行访问控制的用户属性以通过 SAML 断言发送的信息,请参阅 IdP IAM Identity Center 身份源教程。 -
如果您不使用 SCIM,则必须手动添加用户并设置其属性,就像使用 IAM Identity Center 作为身份源一样。接下来,导航到访问控制的属性页面,然后选择要在策略中使用的属性。
-
有关 IAM Identity Center 中的用户属性和外部 IdP 中的用户属性所支持的属性的完整列表,请参阅 支持的外部身份提供商属性。
要开始在 IAM Identity Center 中使用 ABAC,请参阅以下主题。