本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
屬性型存取控制
屬性型存取控制 (ABAC) 是一種授權策略,可根據屬性來定義許可。您可以使用 IAM 身分中心,使用來自任何 IAM 身分中心身分識別來源的 AWS 帳戶 使用者屬性來管理多個 AWS 資源的存取。在中 AWS,這些屬性稱為標籤。在中使用使用者屬性作為標籤可 AWS 協助您簡化在中建立精細權限的程序, AWS 並確保您的員工只能存取具有相符標籤的 AWS 資源。
例如,您可以將來自兩個不同團隊的開發人員 Bob 和 Sally 指派給 IAM 身分中心中設定的相同權限,然後選取團隊名稱屬性進行存取控制。當 Bob 和 Sally 登入其時 AWS 帳戶,IAM 身分中心 AWS 會在工作階段中傳送其小組名稱屬性,以便 Bob 和 Sally 只有在其團隊名稱屬性與 AWS 專案資源上的小組名稱標籤相符時,才能存取專案資源。如果 Bob 將 future 移至 Sally 的團隊,您只需在公司目錄中更新其團隊名稱屬性,即可修改他的存取權限。當 Bob 下次登入時,他將自動存取其新團隊的專案資源,而不需要在中更新任何權限 AWS。
此方法也有助於減少在 IAM Identity Center 中建立和管理的不同許可數量,因為與相同權限集關聯的使用者現在可以根據其屬性擁有唯一的許可。您可以在 IAM 身分中心權限集和以資源為基礎的政策中使用這些使用者屬性,將 ABAC 實作至 AWS 資源,並簡化大規模的許可管理。
優勢
以下是在 IAM 身分中心使用 ABAC 的其他好處。
-
ABAC 需要較少的權限集 — 因為您不需要針對不同的工作職能建立不同的原則,所以建立的權限集就越少。如此可降低您的權限管理複雜度。
-
使用 ABAC,團隊可以快速變更和成長 — 當資源在建立時適當標記資源時,會根據屬性自動授予新資源的權限。
-
搭配 ABAC 使用公司目錄中的員工屬性 — 您可以使用 IAM 身分中心中設定的任何身分來源的現有員工屬性,在中做出存取控制決策。 AWS
-
追蹤誰正在存取資源 — 安全性管理員可以透過檢閱中的使用者屬性 AWS CloudTrail 來追蹤中的使用者活動,輕鬆判斷工作階段的身份 AWS。
如需如何使用 IAM 身分中心主控台設定 ABAC 的相關資訊,請參閱存取控制的屬性。如需如何使用 IAM 身分中心 API 啟用和設定 ABAC 的詳細資訊,請參閱 CreateInstanceAccessControlAttributeConfigurationIAM 身分中心 API 參考指南中的。
