Kontrol akses berbasis atribut

Attribute-based access control (ABAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Anda dapat menggunakan Pusat IAM Identitas untuk mengelola akses ke AWS sumber daya di beberapa Akun AWS menggunakan atribut pengguna yang berasal dari sumber IAM identitas Pusat Identitas apa pun. Masuk AWS, atribut ini disebut tag. Menggunakan atribut pengguna sebagai tag di AWS membantu Anda menyederhanakan proses pembuatan izin berbutir halus di AWS dan memastikan bahwa tenaga kerja Anda hanya mendapatkan akses ke AWS sumber daya dengan tag yang cocok.

Misalnya, Anda dapat menetapkan pengembang Bob dan Sally, yang berasal dari dua tim yang berbeda, ke izin yang sama yang ditetapkan di Pusat IAM Identitas dan kemudian pilih atribut nama tim untuk kontrol akses. Ketika Bob dan Sally masuk ke Akun AWS, Pusat IAM Identitas mengirimkan atribut nama tim mereka di AWS sesi sehingga Bob dan Sally dapat mengakses AWS sumber daya proyek hanya jika atribut nama tim mereka cocok dengan tag nama tim pada sumber daya proyek. Jika Bob pindah ke tim Sally di masa depan, Anda dapat memodifikasi aksesnya hanya dengan memperbarui atribut nama timnya di direktori perusahaan. Ketika Bob masuk lain kali, dia akan secara otomatis mendapatkan akses ke sumber daya proyek tim barunya tanpa memerlukan pembaruan izin apa pun di AWS.

Pendekatan ini juga membantu mengurangi jumlah izin berbeda yang perlu Anda buat dan kelola di Pusat IAM Identitas karena pengguna yang terkait dengan set izin yang sama sekarang dapat memiliki izin unik berdasarkan atributnya. Anda dapat menggunakan atribut pengguna ini dalam kumpulan izin Pusat IAM Identitas dan kebijakan berbasis sumber daya untuk diterapkan ABAC AWS sumber daya dan menyederhanakan manajemen izin dalam skala besar.

Manfaat

Berikut ini adalah manfaat tambahan dari penggunaan ABAC di IAM Identity Center.

ABACmemerlukan lebih sedikit set izin — Karena Anda tidak perlu membuat kebijakan yang berbeda untuk fungsi pekerjaan yang berbeda, Anda membuat lebih sedikit set izin. Ini mengurangi kompleksitas manajemen izin Anda.
MenggunakanABAC, tim dapat berubah dan berkembang dengan cepat — Izin untuk sumber daya baru secara otomatis diberikan berdasarkan atribut ketika sumber daya ditandai dengan tepat pada saat pembuatan.
Gunakan atribut karyawan dari direktori perusahaan Anda dengan ABAC — Anda dapat menggunakan atribut karyawan yang ada dari sumber identitas apa pun yang dikonfigurasi di Pusat IAM Identitas untuk membuat keputusan kontrol akses di AWS.
Lacak siapa yang mengakses sumber daya — Administrator keamanan dapat dengan mudah menentukan identitas sesi dengan meninjau atribut pengguna di AWS CloudTrail untuk melacak aktivitas pengguna di AWS.

Untuk informasi tentang cara mengonfigurasi ABAC menggunakan konsol Pusat IAM Identitas, lihatAtribut untuk kontrol akses. Untuk informasi tentang cara mengaktifkan dan mengonfigurasi ABAC menggunakan Pusat IAM IdentitasAPIs, lihat CreateInstanceAccessControlAttributeConfigurationdi Panduan API Referensi Pusat IAM Identitas.

Topik

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Merujuk set izin

Daftar Periksa: Mengkonfigurasi di ABAC AWS menggunakan IAM Identity Center