本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 访问控制属性
<a name="attributesforaccesscontrol"></a>

**访问控制属性**是 IAM Identity Center 控制台中的页面名称，您可以在其中选择要在策略中使用的用户属性来控制对资源的访问。您可以 AWS 根据用户身份源中的现有属性将用户分配给中的工作负载。

例如，假设您想要根据部门名称分配对 S3 桶的访问权限。在**访问控制属性**页面上，您可以选择**部门**用户属性以与基于属性的访问权限控制（ABAC）结合使用。然后，您可以在 IAM Identity Center 权限集中编写一个策略，仅当**部门**属性与您分配给 S3 桶的部门标签匹配时才授予用户访问权限。IAM Identity Center 将用户的部门属性传递给正在访问的帐户。然后，该属性用于根据策略确定访问。有关 ABAC 的更多信息，请参阅[基于属性的访问控制](abac.md)。

## 开始使用
<a name="abac-getting-started"></a>

如何开始配置访问控制属性取决于您使用的身份源。无论您选择哪种身份源，在选择属性后，您都需要创建或编辑权限集策略。这些策略必须授予用户身份访问 AWS 资源的权限。

### 使用 IAM Identity Center 作为身份源时选择属性
<a name="abac-getting-started-sso"></a>

当您将 IAM Identity Center 配置为身份源时，您首先添加用户并配置其属性。接下来，导航到**访问控制的属性**页面，然后选择要在策略中使用的属性。最后，导航到 **AWS 账户** 页面以创建或编辑权限集以使用 ABAC 的属性。

### 在 AWS Managed Microsoft AD 用作身份来源时选择属性
<a name="abac-getting-started-ms-ad"></a>

当您将 IAM Identity Center 配置 AWS Managed Microsoft AD 为身份源时，首先要将 Active Directory 中的一组属性映射到 IAM Identity Center 中的用户属性。接下来，导航到**访问控制的属性**页面。然后，根据从 Active Directory 映射的现有 SSO 属性集选择要在 ABAC 配置中使用的属性。最后，作者使用权限集中的访问控制属性来编写 ABAC 规则，以授予用户身份对 AWS 资源的访问权限。有关 IAM Identity Center 中用户属性与 AWS Managed Microsoft AD 目录中用户属性的默认映射列表，请参阅[IAM Identity Center 与 Microsoft AD 之间的默认映射](attributemappingsconcept.md#defaultattributemappings)。

### 使用外部身份提供者作为身份源时选择属性
<a name="abac-getting-started-idp"></a>

当您使用外部身份提供者（IdP）作为身份源配置 IAM Identity Center 时，有两种方法可以使用 ABAC 的属性。
+ 您可以将 IdP 配置为通过 SAML 断言发送属性。在这种情况下，IAM Identity Center 会传递来自 IdP 的属性名称和值以进行策略评估。
**注意**  
SAML 断言中的属性在**访问控制属性**页面上对您不可见。您必须提前了解这些属性，并在编写策略时将它们添加到访问控制规则中。如果您决定信任外部 IdPs 的属性，那么当用户联合到 AWS 账户时，这些属性将始终被传递。在相同属性通过 SAML 和 SCIM 传入 IAM Identity Center 的情景中，SCIM 属性值在访问控制决策中具有优先级。
+ 您可以从 IAM Identity Center 控制台的**访问控制属性**页面配置要使用的属性。您在此处选择的属性值将替换通过断言来自 IdP 的任何匹配属性的值。根据您是否使用 SCIM，请考虑以下事项：
  + 如果使用 SCIM，IdP 会自动将属性值同步到 IAM Identity Center。SCIM 属性列表中可能不存在访问控制所需的其他属性。在这种情况下，请考虑与 IdP 中的 IT 管理员合作，使用所需的 `https://aws.amazon.com/SAML/Attributes/AccessControl:` 前缀通过 SAML 断言将此类属性发送到 IAM Identity Center。有关如何在 IdP 中配置进行访问控制的用户属性以通过 SAML 断言发送的信息，请参阅 IdP [IAM Identity Center 身份源教程](tutorials.md)。
  + 如果您不使用 SCIM，则必须手动添加用户并设置其属性，就像使用 IAM Identity Center 作为身份源一样。接下来，导航到**访问控制的属性**页面，然后选择要在策略中使用的属性。

有关 IAM Identity Center 中的用户属性与外部用户属性的支持属性的完整列表 IdPs，请参阅[支持的外部身份提供商属性](attributemappingsconcept.md#supportedidpattributes)。

要开始在 IAM Identity Center 中使用 ABAC，请参阅以下主题。

**Topics**
+ [开始使用](#abac-getting-started)
+ [启用并配置访问控制属性](configure-abac.md)
+ [在 IAM Identity Center 中为 ABAC 创建权限策略](configure-abac-policies.md)