ABAC在IAM身分識別中心中建立權限原則

您可以建立權限原則，根據設定的屬性值決定誰可以存取您的 AWS 資源。當您啟用ABAC並指定屬性時，IAMIdentity Center 會將已驗證使用者的屬性值傳遞至，以IAM便在原則評估中使用。

aws:PrincipalTag 條件金鑰

您可以使用aws:PrincipalTag條件索引鍵來建立存取控制規則，在權限集中使用存取控制屬性。例如，在下列信任原則中，您可以標記組織中的所有資源與各自的成本中心。您也可以使用單一權限集，讓開發人員存取其成本中心資源。現在，每當開發人員使用單一登入及其成本中心屬性聯合到帳戶時，他們只能存取各自成本中心中的資源。隨著團隊在專案中增加了更多開發人員和資源，您只需要使用正確的成本中心標記資源即可。然後，您會在開發人員聯合到 AWS AWS 帳戶工作階段中傳遞成本中心資訊。因此，隨著組織將新資源和開發人員加入成本中心，開發人員可以管理與其成本中心相符的資源，而無需任何權限更新。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

如需詳細資訊，請參閱《使用指南》中的aws:PrincipalTag和EC2：根據相符的主參與IAM者與資源標籤來啟動或停止執行環境。

如果策略在其條件中包含無效屬性，則策略條件將失敗，並拒絕存取。如需詳細資訊，請參閱錯誤：當使用者嘗試使用外部身分識別提供者登入時，發生未預期的錯誤。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

啟用和設定存取控制的屬性

修復IAM身分識別提供者