View a markdown version of this page

存取控制的屬性 - AWS IAM Identity Center
開始使用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

存取控制的屬性

存取控制的屬性是 IAM Identity Center 主控台中的頁面名稱,您可以在其中選取要在政策中使用的使用者屬性,以控制對 資源的存取。您可以 AWS 根據使用者身分來源中的現有屬性,將使用者指派給 中的工作負載。

例如,假設您想要根據部門名稱指派對 S3 儲存貯體的存取權。在存取控制的屬性頁面上,您可以選取要與屬性型存取控制 (ABAC) 搭配使用的部門使用者屬性。在 IAM Identity Center 許可集中,您接著撰寫政策,只有在部門屬性符合您指派給 S3 儲存貯體的部門標籤時,才會授予使用者存取權。IAM Identity Center 會將使用者的部門屬性傳遞給正在存取的帳戶。然後,會使用 屬性來根據政策判斷存取權。當 IAM Identity Center 將這些屬性傳遞給帳戶時,它們會以工作階段標籤的形式傳送,您可以使用所有相關 IAM AWS 政策類型中的aws:PrincipalTag/tag-key條件索引鍵來參考。如需 ABAC 的詳細資訊,請參閱 屬性型存取控制

開始使用

如何開始設定存取控制的屬性,取決於您使用的身分來源。無論您選擇何種身分來源,在選取屬性之後,您需要建立或編輯許可集政策。這些政策必須授予使用者身分對 資源的 AWS 存取權。

使用 IAM Identity Center 做為您的身分來源時選擇屬性

當您將 IAM Identity Center 設定為身分來源時,請先新增使用者並設定其屬性。接著,導覽至存取控制的屬性頁面,然後選取您要在政策中使用的屬性。最後,導覽至AWS 帳戶頁面以建立或編輯許可集,以使用 ABAC 的屬性。

使用 AWS Managed Microsoft AD 做為您的身分來源時選擇屬性

當您將 IAM Identity Center 設定為 AWS Managed Microsoft AD 身分來源時,請先將一組屬性從 Active Directory 映射至 IAM Identity Center 中的使用者屬性。接著,導覽至存取控制的屬性頁面。然後,根據從 Active Directory 映射的現有 SSO 屬性集,選擇要在 ABAC 組態中使用的屬性。最後,使用許可集中的存取控制屬性編寫 ABAC 規則,以授予使用者身分對 資源的 AWS 存取權。如需 IAM Identity Center 中使用者屬性與 AWS Managed Microsoft AD 目錄中使用者屬性的預設映射清單,請參閱 IAM Identity Center 與 之間的預設映射 Microsoft AD

使用外部身分提供者做為您的身分來源時,選擇屬性

當您使用外部身分提供者 (IdP) 做為身分來源來設定 IAM Identity Center 時,有兩種方式可以使用 ABAC 的屬性。

  • 在 IAM Identity Center 主控台中設定屬性映射。您可以將屬性從 IAM Identity Center 目錄映射到 IAM Identity Center 主控台中存取控制屬性頁面上的工作階段標籤。您在此處選擇的屬性值來自 Identity Center 目錄,並透過 SAML 聲明取代來自 IdP 的任何相符屬性值。根據您是否使用 SCIM,請考慮下列事項:

    • 如果使用 SCIM,IdP 會自動將屬性值同步到 IAM Identity Center。然後,您可以在存取控制的屬性頁面上選取這些同步屬性,以將其用作工作階段標籤。

    • 如果您不是使用 SCIM,則必須手動新增使用者並設定其屬性,就像使用 IAM Identity Center 做為身分來源一樣。接著,導覽至存取控制的屬性頁面,然後選擇您要在政策中使用的屬性。

  • 透過 SAML 聲明從您的 IdP 傳遞屬性。您可以將 IdP 設定為透過 SAML 聲明將屬性作為工作階段標籤傳送。若要執行此作業,請將 IdP 設定為傳送屬性名稱設為 的 SAML 聲明https://aws.amazon.com/SAML/Attributes/AccessControl:TagKey,並將 TagKey 取代為您要填入的工作階段標籤金鑰。IAM Identity Center 會將屬性名稱和值從 IdP 傳遞到 以進行政策評估。

    您不需要針對從外部 IdP 透過 SAML 聲明傳入的屬性,在存取控制屬性頁面上設定 ABAC 屬性映射。不過,如果您在存取控制的屬性頁面上為相同的屬性設定 ABAC 映射,則來自 Identity Center 目錄的映射會優先,並在 SAML 聲明中取代 IdP 傳送的值。

    注意

    您無法在存取控制的屬性頁面上看到 SAML 聲明中的屬性。您必須事先了解這些屬性,並在撰寫政策時將其新增至存取控制規則。如果您決定信任外部 IdPs的屬性,則這些屬性一律會在使用者聯合時傳遞 AWS 帳戶。如需如何在 IdP 中為存取控制設定使用者屬性以透過 SAML 聲明傳送的資訊,請參閱 IdP IAM Identity Center 身分來源教學課程的 。

如需 IAM Identity Center 中使用者屬性到外部 IdPs 中使用者屬性的支援屬性完整清單,請參閱 支援的外部身分提供者屬性

若要在 IAM Identity Center 中開始使用 ABAC,請參閱下列主題。

主題