在 IAM Identity Center 中为 ABAC 创建权限策略
您可以创建权限策略,根据配置的属性值确定谁可以访问您的 AWS 资源。当您启用 ABAC 并指定属性时,IAM Identity Center 会将经过身份验证的用户的属性值传递到 IAM,以便在策略评估中使用。
aws:PrincipalTag 条件键
您可以使用权限集中的访问控制属性,并使用 aws:PrincipalTag
条件密钥创建访问控制规则。例如,在以下信任策略中,您可以使用各自的成本中心标记组织中的所有资源。您还可以使用单个权限集来授予开发人员访问其成本中心资源的权限。现在,每当开发人员使用单点登录及其成本中心属性对账号进行联合身份验证时,他们只能访问各自成本中心中的资源。随着团队向其项目添加更多开发人员和资源,您只需使用正确的成本中心标记资源即可。然后,当开发人员对 AWS 账户 进行联合身份验证时,您可以在 AWS 会话中传递成本中心信息。因此,当组织向成本中心添加新资源和开发人员时,开发人员可以管理与其成本中心一致的资源,而无需任何权限更新。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}" } } } ] }
有关更多信息,请参阅 IAM 用户指南中的aws:PrincipalTag和 EC2:根据匹配的主体和资源标签启动或停止实例。
如果策略的条件中包含无效属性,则策略条件将失败并且访问将被拒绝。有关更多信息,请参阅 当用户尝试使用外部身份提供者登录时显示错误信息“出现意外错误”。