Crear políticas de permisos para ABAC en IAM Identity Center - AWS IAM Identity Center
Clave de condición de aws:PrincipalTag

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear políticas de permisos para ABAC en IAM Identity Center

Puede crear políticas de permisos que determinen quién puede acceder a sus recursos de AWS en característica de los valores de atributos configurados. Cuando habilita ABAC y especifica atributos, IAM Identity Center transfiere los valores de atributo del usuario autenticado a IAM para utilizarlos en la evaluación de políticas.

Clave de condición de aws:PrincipalTag

Puede utilizar los atributos de control de acceso en sus conjuntos de permisos mediante la clave de condición aws:PrincipalTag para crear reglas de control de acceso. Por ejemplo, en la siguiente política de confianza, puede etiquetar todos los recursos de su organización con sus respectivos centros de costos. También puede utilizar un único conjunto de permisos que conceda a los desarrolladores acceso a los recursos de sus centros de costos. Ahora, cuando los desarrolladores se federan en la cuenta mediante el inicio de sesión único y su atributo de centro de costos, solo tienen acceso a los recursos de sus respectivos centros. A medida que el equipo vaya añadiendo más desarrolladores y recursos a su proyecto, solo tendrás que etiquetar los recursos con el centro de costos correcto. Luego, pasa la información del centro de costos en la AWS sesión cuando los desarrolladores se federan Cuentas de AWS. Por tanto, a medida que la organización agrega nuevos recursos y desarrolladores al centro de costos, los desarrolladores pueden administrar los recursos alineados con sus centros sin necesidad de actualizar los permisos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Para obtener más información, consulte aws:PrincipalTag y EC2: Iniciar o detener instancias en característica de las etiquetas principales y de recursos coincidentes en la Guía del usuario de IAM.

Si las políticas contienen atributos no válidos en sus condiciones, la condición de la política fallará y se denegará el acceso. Para obtener más información, consulte Error: “Se ha producido un error inesperado” cuando un usuario intenta iniciar sesión con un proveedor de identidad externo.