ABAC para recursos individuales
Los usuarios del Centro de identidades de IAM y los roles de IAM admiten el control de acceso basado en atributos (ABAC), que permite definir el acceso a las operaciones y los recursos en función de las etiquetas. ABAC ayuda a reducir la necesidad de actualizar las políticas de permisos y a basar el acceso a los atributos de los empleados del directorio corporativo. Si ya utiliza una estrategia de varias múltiples, puede utilizar ABAC además del control de acceso basado en roles (RBAC) para proporcionar a varios equipos que operan en la misma cuenta un acceso detallado a diferentes recursos. Por ejemplo, los usuarios del Centro de identidades de IAM o los roles de IAM pueden incluir condiciones para limitar el acceso a instancias específicas de Amazon EC2 que, de lo contrario, se tendrían que mostrar de forma explícita en cada política para poder acceder a ellas.
Dado que un modelo de autorización de ABAC depende de las etiquetas para acceder a las operaciones y los recursos, es importante proporcionar barreras de protección para evitar el acceso no deseado. Las SCP se pueden usar para proteger las etiquetas en toda la organización, ya que solo permiten que las etiquetas se modifiquen bajo determinadas condiciones. Los blogs Protección de las etiquetas de recursos utilizadas para la autorización mediante una política de control de servicios en AWS Organizations
Cuando se utilizan instancias de Amazon EC2 de larga duración para respaldar prácticas operativas más tradicionales, se puede utilizar este enfoque, el blog Configurar ABAC de Centro de identidades de IAM para las instancias de Amazon EC2 y el administrador de sesiones de Systems Manager
Para obtener más información sobre los servicios compatibles con ABAC, consulte servicios de AWS que funcionan con IAM.
