本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
访问控制属性
访问控制属性是 IAM Identity Center 控制台中的页面名称,您可以在其中选择要在策略中使用的用户属性来控制对资源的访问。您可以 AWS 根据用户身份源中的现有属性将用户分配给中的工作负载。
例如,假设您想要根据部门名称分配对 S3 桶的访问权限。在访问控制属性页面上,您可以选择部门用户属性以与基于属性的访问权限控制(ABAC)结合使用。然后,您可以在 IAM Identity Center 权限集中编写一个策略,仅当部门属性与您分配给 S3 桶的部门标签匹配时才授予用户访问权限。IAM Identity Center 将用户的部门属性传递给正在访问的帐户。然后,该属性用于根据策略确定访问。当 IAM Identity Center 将这些属性传递给账户时,它们将作为会话标签发送,您可以使用所有相关 AWS IAM 策略类型中的aws:PrincipalTag/条件密钥来引用这些标签。有关 ABAC 的更多信息,请参阅基于属性的访问控制。tag-key
开始使用
如何开始配置访问控制属性取决于您使用的身份源。无论您选择哪种身份源,在选择属性后,您都需要创建或编辑权限集策略。这些策略必须授予用户身份访问 AWS 资源的权限。
使用 IAM Identity Center 作为身份源时选择属性
当您将 IAM Identity Center 配置为身份源时,您首先添加用户并配置其属性。接下来,导航到访问控制的属性页面,然后选择要在策略中使用的属性。最后,导航到 AWS 账户 页面以创建或编辑权限集以使用 ABAC 的属性。
在 AWS Managed Microsoft AD 用作身份来源时选择属性
当您将 IAM 身份中心配置 AWS Managed Microsoft AD 为身份源时,首先要将 Active Directory 中的一组属性映射到 IAM Identity Center 中的用户属性。接下来,导航到访问控制的属性页面。然后,根据从 Active Directory 映射的现有 SSO 属性集选择要在 ABAC 配置中使用的属性。最后,作者使用权限集中的访问控制属性来编写 ABAC 规则,以授予用户身份对 AWS 资源的访问权限。有关 IAM Identity Center 中用户属性与 AWS Managed Microsoft AD 目录中用户属性的默认映射列表,请参阅IAM Identity Center 与 Microsoft AD 之间的默认映射。
使用外部身份提供者作为身份源时选择属性
当您使用外部身份提供者(IdP)作为身份源配置 IAM Identity Center 时,有两种方法可以使用 ABAC 的属性。
-
在 IAM 身份中心控制台中配置属性映射。您可以在 IAM Identity Center 控制台的访问控制属性页面上将 IAM 身份中心目录中的属性映射到会话标签。您在此处选择的属性值源自 Identity Center 目录,用于替换通过 SAML 断言来自 IdP 的任何匹配属性的值。根据您是否使用 SCIM,请考虑以下事项:
-
如果使用 SCIM,IdP 会自动将属性值同步到 IAM Identity Center。然后,您可以在 “访问控制的属性” 页面上选择这些同步属性,将其用作会话标记。
-
如果您不使用 SCIM,则必须手动添加用户并设置其属性,就像使用 IAM Identity Center 作为身份源一样。接下来,导航到访问控制的属性页面,然后选择要在策略中使用的属性。
-
-
通过 SAML 断言传递来自 IdP 的属性。您可以将 IdP 配置为通过 SAML 断言将属性作为会话标签发送。为此,请将您的 IdP 配置为发送 SAML 断言,并将属性名称设置为
https://aws.amazon.com/SAML/Attributes/AccessControl:,替换为要填TagKeyTagKey充的会话标签密钥。IAM Identity Center 将来自 IdP 的属性名称和值传递给策略评估。对于通过外部 IdP 的 SAML 断言传入的属性,无需在 “访问控制的属性” 页面上配置 ABAC 属性映射。但是,如果您在 “访问控制的属性” 页面上为同一属性配置 ABAC 映射,则身份中心目录中的映射优先,并替换您的 IdP 在 SAML 断言中发送的值。
注意
SAML 断言中的属性在访问控制属性页面上对您不可见。您必须提前了解这些属性,并在编写策略时将它们添加到访问控制规则中。如果您决定信任外部 IdPs 的属性,那么当用户联合到 AWS 账户时,这些属性将始终被传递。有关如何在 IdP 中配置进行访问控制的用户属性以通过 SAML 断言发送的信息,请参阅 IdP IAM Identity Center 身份源教程。
有关 IAM Identity Center 中的用户属性与外部用户属性的支持属性的完整列表 IdPs,请参阅支持的外部身份提供商属性。
要开始在 IAM Identity Center 中使用 ABAC,请参阅以下主题。
