Activer et configurer les attributs pour le contrôle d'accès - AWS IAM Identity Center
Activer les attributs pour le contrôle d'accèsSélectionnez vos attributsDésactiver des attributs pour le contrôle d'accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer et configurer les attributs pour le contrôle d'accès

Pour utiliser ABAC dans tous les cas, vous devez d'abord activer ABAC à l'aide de la console IAM Identity Center ou de l'API IAM Identity Center. Si vous choisissez d'utiliser IAM Identity Center pour sélectionner des attributs, utilisez la page Attributs pour le contrôle d'accès de la console IAM Identity Center ou l'API IAM Identity Center. Si vous utilisez un fournisseur d'identité externe (IdP) comme source d'identité et que vous choisissez d'envoyer des attributs via les assertions SAML, vous configurez votre IdP pour transmettre les attributs. Si une assertion SAML transmet l'un de ces attributs, IAM Identity Center remplacera la valeur de l'attribut par la valeur du magasin d'identités IAM Identity Center. Seuls les attributs configurés dans IAM Identity Center seront envoyés pour prendre des décisions en matière de contrôle d'accès lorsque les utilisateurs se fédérent dans leurs comptes.

Note

Vous ne pouvez pas afficher les attributs configurés et envoyés par un IdP externe depuis la page Attributs pour le contrôle d'accès de la console IAM Identity Center. Si vous transmettez des attributs de contrôle d'accès dans les assertions SAML à partir de votre IdP externe, ces attributs sont directement envoyés au Compte AWS moment de la fédération des utilisateurs. Les attributs ne seront pas disponibles dans IAM Identity Center pour le mappage.

Activer les attributs pour le contrôle d'accès

Utilisez la procédure suivante pour activer la fonctionnalité de contrôle des attributs d'accès (ABAC) à l'aide de la console IAM Identity Center.

Note

Si vous disposez d'ensembles d'autorisations existants et que vous prévoyez d'activer ABAC dans votre instance IAM Identity Center, des restrictions de sécurité supplémentaires nécessitent que vous disposiez d'abord de la iam:UpdateAssumeRolePolicy politique. Ces restrictions de sécurité supplémentaires ne sont pas requises si aucun ensemble d'autorisations n'a été créé dans votre compte.

Pour activer les attributs pour le contrôle d'accès

  1. Ouvrez la console IAM Identity Center.

  2. Choisissez les paramètres

  3. Sur la page Paramètres, recherchez la zone Attributs pour les informations de contrôle d'accès, puis choisissez Activer. Passez à la procédure suivante pour le configurer.

Sélectionnez vos attributs

Utilisez la procédure suivante pour configurer les attributs de votre configuration ABAC.

Pour sélectionner vos attributs à l'aide de la console IAM Identity Center

  1. Ouvrez la console IAM Identity Center.

  2. Choisissez les paramètres

  3. Sur la page Paramètres, choisissez l'onglet Attributs pour le contrôle d'accès, puis sélectionnez Gérer les attributs.

  4. Sur la page Attributs pour le contrôle d'accès, choisissez Ajouter un attribut et entrez les détails de la clé et de la valeur. C'est ici que vous allez mapper l'attribut provenant de votre source d'identité à un attribut transmis par IAM Identity Center en tant que balise de session.

    La clé représente le nom que vous donnez à l'attribut à utiliser dans les politiques. Il peut s'agir de n'importe quel nom arbitraire, mais vous devez le spécifier exactement dans les politiques que vous créez pour le contrôle d'accès. Supposons, par exemple, que vous utilisiez Okta (un IdP externe) comme source d'identité et que vous deviez transmettre les données du centre de coûts de votre organisation sous forme de balises de session. Dans Key, vous devez saisir un nom correspondant de la même manière, CostCentercomme votre nom de clé. Il est important de noter que quel que soit le nom que vous choisissez ici, il doit également porter exactement le même nom dans votre nom Clé de condition aws:PrincipalTag (c'est-à-dire,"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}").

    Note

    Utilisez un attribut à valeur unique pour votre clé, Manager par exemple. IAM Identity Center ne prend pas en charge les attributs à valeurs multiples pour ABAC, par exemple. Manager, IT Systems

    La valeur représente le contenu de l'attribut provenant de votre source d'identité configurée. Vous pouvez saisir ici n'importe quelle valeur de la table des sources d'identité appropriée répertoriée dansMappages d'attributs pour le répertoire AWS Managed Microsoft AD. Par exemple, en utilisant le contexte fourni dans l'exemple mentionné ci-dessus, vous examineriez la liste des attributs IdP pris en charge et détermineriez que la correspondance la plus proche d'un attribut pris en charge serait, ${path:enterprise.costCenter}puis vous la saisiriez dans le champ Valeur. Voir la capture d'écran ci-dessus pour référence. Notez que vous ne pouvez pas utiliser de valeurs d'attributs IdP externes en dehors de cette liste pour ABAC, sauf si vous utilisez l'option de transmission d'attributs via l'assertion SAML.

  5. Sélectionnez Enregistrer les modifications.

Maintenant que vous avez configuré le mappage de vos attributs de contrôle d'accès, vous devez terminer le processus de configuration ABAC. Pour ce faire, créez vos règles ABAC et ajoutez-les à vos ensembles d'autorisations et/ou à vos politiques basées sur les ressources. Cela est nécessaire pour que vous puissiez accorder aux identités des utilisateurs l'accès aux AWS ressources. Pour plus d’informations, consultez Création de politiques d'autorisation pour ABAC dans IAM Identity Center.

Désactiver des attributs pour le contrôle d'accès

Utilisez la procédure suivante pour désactiver la fonctionnalité ABAC et supprimer tous les mappages d'attributs qui ont été configurés.

Pour désactiver les attributs pour le contrôle d'accès

  1. Ouvrez la console IAM Identity Center.

  2. Choisissez les paramètres

  3. Sur la page Paramètres, choisissez l'onglet Attributs pour le contrôle d'accès, puis sélectionnez Désactiver.

  4. Dans la boîte de dialogue Désactiver les attributs pour le contrôle d'accès, passez en revue les informations et, lorsque vous êtes prêt, entrez DELETE, puis cliquez sur Confirmer.

    Important

    Cette étape supprime tous les attributs qui ont été configurés. Une fois supprimés, les attributs reçus d'une source d'identité et les attributs personnalisés que vous avez précédemment configurés ne seront pas transmis.