Attributs pour le contrôle d’accès - AWS IAM Identity Center
Premiers pas

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Attributs pour le contrôle d’accès

Attributs pour le contrôle d'accès est le nom de la page de la console IAM Identity Center où vous sélectionnez les attributs utilisateur que vous souhaitez utiliser dans les politiques pour contrôler l'accès aux ressources. Vous pouvez affecter des utilisateurs à des charges de travail en AWS fonction des attributs existants dans la source d'identité des utilisateurs.

Supposons, par exemple, que vous souhaitiez attribuer l'accès aux compartiments S3 en fonction des noms des départements. Sur la page Attributs pour le contrôle d'accès, vous sélectionnez l'attribut utilisateur du département à utiliser avec le contrôle d'accès basé sur les attributs (ABAC). Dans l'ensemble d'autorisations IAM Identity Center, vous rédigez ensuite une politique qui accorde l'accès aux utilisateurs uniquement lorsque l'attribut Department correspond à la balise de département que vous avez attribuée à vos compartiments S3. IAM Identity Center transmet l'attribut de département de l'utilisateur au compte auquel il accède. L'attribut est ensuite utilisé pour déterminer l'accès en fonction de la politique. Pour plus d'informations sur ABAC, consultezContrôle d'accès basé sur les attributs.

Premiers pas

La manière dont vous commencez à configurer les attributs pour le contrôle d'accès dépend de la source d'identité que vous utilisez. Quelle que soit la source d'identité que vous choisissez, après avoir sélectionné vos attributs, vous devez créer ou modifier les politiques relatives aux ensembles d'autorisations. Ces politiques doivent accorder aux identités des utilisateurs l'accès aux AWS ressources.

Choix des attributs lors de l'utilisation d'IAM Identity Center comme source d'identité

Lorsque vous configurez IAM Identity Center comme source d'identité, vous devez d'abord ajouter des utilisateurs et configurer leurs attributs. Accédez ensuite à la page Attributs pour le contrôle d'accès et sélectionnez les attributs que vous souhaitez utiliser dans les politiques. Enfin, accédez à la Comptes AWSpage pour créer ou modifier des ensembles d'autorisations afin d'utiliser les attributs d'ABAC.

Choix des attributs lorsque vous AWS Managed Microsoft AD les utilisez comme source d'identité

Lorsque vous configurez IAM Identity Center AWS Managed Microsoft AD comme source d'identité, vous mappez d'abord un ensemble d'attributs d'Active Directory aux attributs utilisateur d'IAM Identity Center. Accédez ensuite à la page Attributs pour le contrôle d'accès. Choisissez ensuite les attributs à utiliser dans votre configuration ABAC en fonction de l'ensemble existant d'attributs SSO mappés depuis Active Directory. Enfin, créez des règles ABAC en utilisant les attributs de contrôle d'accès dans les ensembles d'autorisations pour accorder aux identités des utilisateurs l'accès aux AWS ressources. Pour obtenir la liste des mappages par défaut des attributs utilisateur dans IAM Identity Center avec les attributs utilisateur de votre AWS Managed Microsoft AD annuaire, consultez. Mappages par défaut

Choix des attributs lors de l'utilisation d'un fournisseur d'identité externe comme source d'identité

Lorsque vous configurez IAM Identity Center avec un fournisseur d'identité externe (IdP) comme source d'identité, il existe deux manières d'utiliser les attributs pour ABAC.

  • Vous pouvez configurer votre IdP pour envoyer les attributs via des assertions SAML. Dans ce cas, IAM Identity Center transmet le nom et la valeur de l'attribut de l'IdP à des fins d'évaluation des politiques.

    Note

    Les attributs des assertions SAML ne seront pas visibles sur la page Attributs pour le contrôle d'accès. Vous devez connaître ces attributs à l'avance et les ajouter aux règles de contrôle d'accès lorsque vous créez des politiques. Si vous décidez de faire confiance à votre externe IdPs pour les attributs, ces attributs seront toujours transmis lorsque les utilisateurs se fédéreront dans Comptes AWS. Dans les scénarios où les mêmes attributs arrivent à IAM Identity Center via SAML et SCIM, la valeur des attributs SAML a priorité dans les décisions de contrôle d'accès.

  • Vous pouvez configurer les attributs que vous utilisez depuis la page Attributs pour le contrôle d'accès de la console IAM Identity Center. Les valeurs d'attributs que vous choisissez ici remplacent les valeurs de tous les attributs correspondants provenant d'un IdP via une assertion. Selon que vous utilisez ou non le SCIM, tenez compte des points suivants :

    • Si vous utilisez SCIM, l'IdP synchronise automatiquement les valeurs des attributs dans IAM Identity Center. Les attributs supplémentaires requis pour le contrôle d'accès peuvent ne pas figurer dans la liste des attributs SCIM. Dans ce cas, envisagez de collaborer avec l'administrateur informatique de votre IdP pour envoyer ces attributs à IAM Identity Center via des assertions SAML en utilisant le préfixe requis. https://aws.amazon.com/SAML/Attributes/AccessControl: Pour plus d'informations sur la façon de configurer les attributs utilisateur pour le contrôle d'accès dans votre IdP à envoyer via des assertions SAML, consultez le Tutoriels de mise en route

    • Si vous n'utilisez pas le SCIM, vous devez ajouter manuellement les utilisateurs et définir leurs attributs comme si vous utilisiez IAM Identity Center comme source d'identité. Accédez ensuite à la page Attributs pour le contrôle d'accès et choisissez les attributs que vous souhaitez utiliser dans les politiques.

Pour une liste complète des attributs pris en charge pour les attributs utilisateur dans IAM Identity Center et les attributs utilisateur dans votre environnement externe IdPs, consultezAttributs du fournisseur d'identité externe pris en charge.

Pour commencer à utiliser ABAC dans IAM Identity Center, consultez les rubriques suivantes.

Rubriques