ABAC für einzelne Ressourcen - Bewährte Methoden für das Taggen von AWS-Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

ABAC für einzelne Ressourcen

IAM Identity Center-Benutzer und IAM-Rollen unterstützen die attributebasierte Zugriffskontrolle (ABAC), mit der Sie den Zugriff auf Operationen und Ressourcen anhand von Tags definieren können. ABAC reduziert die Notwendigkeit, die Berechtigungsrichtlinien zu aktualisieren, und unterstützt Sie dabei, den Zugriff auf Mitarbeiterattribute aus Ihrem Unternehmensverzeichnis zu stützen. Wenn Sie bereits eine Strategie für mehrere Konten verwenden, kann ABAC zusätzlich zur rollenbasierten Zugriffskontrolle (RBAC) verwendet werden, um mehreren Teams, die mit demselben Konto arbeiten, granularen Zugriff auf verschiedene Ressourcen zu ermöglichen. Beispielsweise können IAM Identity Center-Benutzer oder IAM-Rollen Bedingungen zur Beschränkung des Zugriffs auf bestimmte EC2 Amazon-Instances enthalten, die andernfalls explizit in jeder Richtlinie aufgeführt werden müssten, um auf sie zugreifen zu können.

Da ein ABAC-Autorisierungsmodell für den Zugriff auf Operationen und Ressourcen auf Tags angewiesen ist, ist es wichtig, Schutzmaßnahmen vorzusehen, um unbeabsichtigten Zugriff zu verhindern. SCPs kann verwendet werden, um Tags in Ihrer gesamten Organisation zu schützen, indem Tags nur unter bestimmten Bedingungen geändert werden dürfen. Informationen zur Implementierung finden Sie in den Blogs Sicherung von Ressourcen-Tags, die für die Autorisierung mithilfe einer Dienststeuerungsrichtlinie verwendet werden, AWS Organizations und Zugriffsgrenzen für IAM-Entitäten.

Wenn langlebige EC2 Amazon-Instances zur Unterstützung traditionellerer Betriebspraktiken verwendet werden, kann dieser Ansatz verwendet werden. Im Blog Configure IAM Identity Center ABAC for Amazon EC2 Instances and Systems Manager Session Manager wird diese Form der attributbasierten Zugriffskontrolle ausführlicher behandelt. Wie bereits erwähnt, unterstützen nicht alle Ressourcentypen das Tagging, und von denen, die dies tun, unterstützen nicht alle die Durchsetzung mithilfe von Tag-Richtlinien. Daher ist es ratsam, dies zu überprüfen, bevor Sie mit der Implementierung dieser Strategie auf einem beginnen AWS-Konto.

Weitere Informationen zu Diensten, die ABAC unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren.