Créer des politiques d'autorisation pour ABAC dans IAM Identity Center - AWS IAM Identity Center
Clé de condition aws:PrincipalTag

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créer des politiques d'autorisation pour ABAC dans IAM Identity Center

Vous pouvez créer des politiques d'autorisation qui déterminent qui peut accéder à vos AWS ressources en fonction de la valeur d'attribut configurée. Lorsque vous activez ABAC et spécifiez des attributs, IAM Identity Center transmet la valeur d'attribut de l'utilisateur authentifié IAM pour qu'elle soit utilisée dans le cadre de l'évaluation des politiques.

Clé de condition aws:PrincipalTag

Vous pouvez utiliser des attributs de contrôle d'accès dans vos ensembles d'autorisations à l'aide de la clé de aws:PrincipalTag condition pour créer des règles de contrôle d'accès. Par exemple, dans la politique de confiance suivante, vous pouvez étiqueter toutes les ressources de votre organisation avec leurs centres de coûts respectifs. Vous pouvez également utiliser un ensemble d'autorisations unique qui accorde aux développeurs l'accès aux ressources de leur centre de coûts. Désormais, chaque fois que les développeurs se fédérent dans le compte à l'aide de l'authentification unique et de leur attribut de centre de coûts, ils n'ont accès qu'aux ressources de leurs centres de coûts respectifs. Au fur et à mesure que l'équipe ajoute des développeurs et des ressources à son projet, il vous suffit de baliser les ressources avec le centre de coûts approprié. Vous transmettez ensuite les informations du centre de coûts lors de la AWS session dans laquelle les développeurs se Comptes AWS fédérent. Ainsi, à mesure que l'organisation ajoute de nouvelles ressources et de nouveaux développeurs au centre de coûts, les développeurs peuvent gérer les ressources alignées sur leurs centres de coûts sans avoir besoin de mettre à jour les autorisations.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Pour plus d'informations, voir aws:PrincipalTaget EC2: Démarrer ou arrêter des instances en fonction de la correspondance des balises principale et ressource dans le Guide de IAM l'utilisateur.

Si les politiques contiennent des attributs non valides dans leurs conditions, la condition de politique échouera et l'accès sera refusé. Pour plus d’informations, consultez Erreur « Une erreur inattendue s'est produite » lorsqu'un utilisateur tente de se connecter à l'aide d'un fournisseur d'identité externe.