Contrôle d'accès basé sur les attributs

Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit des autorisations en fonction des attributs. Vous pouvez utiliser IAM Identity Center pour gérer l'accès à vos AWS ressources sur plusieurs sites à Comptes AWS l'aide d'attributs utilisateur provenant de n'importe quelle source d'identité IAM Identity Center. Dans AWS, ces attributs sont appelés balises. L'utilisation des attributs utilisateur sous forme de balises vous AWS permet de simplifier le processus de création d'autorisations précises AWS et de garantir que votre personnel n'a accès qu'aux AWS ressources associées aux balises correspondantes.

Par exemple, vous pouvez attribuer aux développeurs Bob et Sally, issus de deux équipes différentes, le même ensemble d'autorisations dans IAM Identity Center, puis sélectionner l'attribut du nom de l'équipe pour le contrôle d'accès. Lorsque Bob et Sally se connectent à leur Comptes AWS, IAM Identity Center envoie leur attribut de nom d'équipe dans la AWS session afin que Bob et Sally puissent accéder aux ressources AWS du projet uniquement si leur attribut de nom d'équipe correspond au tag de nom d'équipe figurant sur la ressource du projet. Si Bob rejoint l'équipe de Sally à l'avenir, vous pouvez modifier son accès en mettant simplement à jour son attribut de nom d'équipe dans le répertoire de l'entreprise. La prochaine fois que Bob se connectera, il aura automatiquement accès aux ressources de projet de sa nouvelle équipe sans avoir à mettre à jour les autorisations AWS.

Cette approche permet également de réduire le nombre d'autorisations distinctes que vous devez créer et gérer dans IAM Identity Center, car les utilisateurs associés aux mêmes ensembles d'autorisations peuvent désormais disposer d'autorisations uniques en fonction de leurs attributs. Vous pouvez utiliser ces attributs utilisateur dans les ensembles d'autorisations et les politiques basées sur les ressources d'IAM Identity Center pour implémenter ABAC dans les AWS ressources et simplifier la gestion des autorisations à grande échelle.

Avantages

Les avantages supplémentaires de l'utilisation d'ABAC dans IAM Identity Center sont les suivants.

ABAC nécessite moins d'ensembles d'autorisations : comme vous n'avez pas à créer de politiques différentes pour les différentes fonctions, vous créez moins d'ensembles d'autorisations. Cela réduit la complexité de la gestion des autorisations.
Grâce à ABAC, les équipes peuvent évoluer et se développer rapidement : les autorisations pour les nouvelles ressources sont automatiquement accordées en fonction des attributs lorsque les ressources sont correctement étiquetées lors de leur création.
Utilisez les attributs des employés de votre annuaire d'entreprise avec ABAC : vous pouvez utiliser les attributs des employés existants provenant de n'importe quelle source d'identité configurée dans IAM Identity Center pour prendre des décisions de contrôle d'accès dans. AWS
Suivez qui accède aux ressources — Les administrateurs de sécurité peuvent facilement déterminer l'identité d'une session en examinant les attributs des utilisateurs AWS CloudTrail pour suivre leur activité AWS.

Pour plus d'informations sur la configuration d'ABAC à l'aide de la console IAM Identity Center, consultez. Attributs pour le contrôle d’accès Pour plus d'informations sur l'activation et la configuration d'ABAC à l'aide des API IAM Identity Center, consultez le Guide de CreateInstanceAccessControlAttributeConfigurationréférence des API IAM Identity Center.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Référencement des ensembles d'autorisations dans les politiques de ressources, Amazon EKS et AWS KMS

Liste de contrôle : Configuration d'ABAC à AWS l'aide d'IAM Identity Center