ABAC pour les ressources individuelles - Bonnes pratiques en matière de balisage des ressources AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

ABAC pour les ressources individuelles

Les utilisateurs et les rôles IAM de l'IAM Identity Center prennent en charge le contrôle d'accès basé sur les attributs (ABAC), qui vous permet de définir l'accès aux opérations et aux ressources en fonction de balises. ABAC permet de réduire le besoin de mettre à jour les politiques d'autorisation et vous aide à baser l'accès sur les attributs des employés figurant dans le répertoire de votre entreprise. Si vous utilisez déjà une stratégie multi-comptes, l'ABAC peut être utilisé en complément du contrôle d'accès basé sur les rôles (RBAC) pour fournir à plusieurs équipes opérant sur le même compte un accès granulaire à différentes ressources. Par exemple, les utilisateurs de l'IAM Identity Center ou les rôles IAM peuvent inclure des conditions visant à limiter l'accès à des EC2 instances Amazon spécifiques qui, sinon, devraient être explicitement répertoriées dans chaque politique pour y accéder.

Étant donné qu'un modèle d'autorisation ABAC repose sur des balises pour accéder aux opérations et aux ressources, il est important de prévoir des garde-fous pour empêcher tout accès involontaire. SCPs peut être utilisé pour protéger les tags au sein de votre organisation en autorisant uniquement la modification des tags sous certaines conditions. Les blogs Sécurisation des balises de ressources utilisées pour l'autorisation à l'aide d'une politique de contrôle des services AWS Organizations et des limites d'autorisations pour les entités IAM fournissent des informations sur la manière de mettre en œuvre cette politique.

Lorsque des EC2 instances Amazon à longue durée de vie sont utilisées pour prendre en charge des pratiques opérationnelles plus traditionnelles, cette approche peut être utilisée. Le blog Configure IAM Identity Center ABAC for Amazon EC2 instances et Systems Manager Session Manager décrivent plus en détail cette forme de contrôle d'accès basé sur les attributs. Comme indiqué précédemment, tous les types de ressources ne prennent pas en charge le balisage, et parmi ceux qui le sont, tous ne prennent pas en charge l'application de politiques de balises. Il est donc conseillé d'évaluer cela avant de commencer à implémenter cette stratégie sur un Compte AWS.

Pour en savoir plus sur les services compatibles avec ABAC, consultez la section AWS Services compatibles avec IAM.