本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Ident IAM ity Center ABAC 中创建权限策略
您可以创建权限策略,根据配置的属性值确定谁可以访问您的 AWS 资源。启用ABAC和指定属性时,Ident IAM ity Center 会将经过身份验证的用户的属性值传递IAM给策略评估。
aws:PrincipalTag 条件键
您可以使用权限集中的访问控制属性,并使用 aws:PrincipalTag
条件密钥创建访问控制规则。例如,在以下信任策略中,您可以使用各自的成本中心标记组织中的所有资源。您还可以使用单个权限集来授予开发人员访问其成本中心资源的权限。现在,每当开发人员使用单点登录及其成本中心属性对账号进行联合身份验证时,他们只能访问各自成本中心中的资源。随着团队向其项目添加更多开发人员和资源,您只需使用正确的成本中心标记资源即可。然后,当开发人员联合进入 AWS 账户时,您可以在会 AWS
话中传递成本中心信息。因此,当组织向成本中心添加新资源和开发人员时,开发人员可以管理与其成本中心一致的资源,而无需任何权限更新。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}" } } } ] }
有关更多信息,请参阅 aws:PrincipalTag和 EC2:根据IAM用户指南中匹配的主体和资源标签启动或停止实例。
如果策略的条件中包含无效属性,则策略条件将失败并且访问将被拒绝。有关更多信息,请参阅 当用户尝试使用外部身份提供者登录时显示错误信息“出现意外错误”。