Aktifkan dan konfigurasikan atribut untuk kontrol akses - AWS IAM Identity Center
Aktifkan atribut untuk kontrol aksesPilih atribut AndaNonaktifkan atribut untuk kontrol akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan dan konfigurasikan atribut untuk kontrol akses

Untuk digunakan ABAC dalam semua kasus, Anda harus terlebih dahulu mengaktifkan ABAC menggunakan konsol Pusat IAM Identitas atau Pusat IAM IdentitasAPI. Jika Anda memilih untuk menggunakan Pusat IAM Identitas untuk memilih atribut, Anda menggunakan halaman Atribut untuk kontrol akses di konsol Pusat IAM Identitas atau Pusat IAM IdentitasAPI. Jika Anda menggunakan penyedia identitas eksternal (iDP) sebagai sumber identitas dan memilih untuk mengirim atribut melalui SAML pernyataan, Anda mengonfigurasi idP Anda untuk meneruskan atribut. Jika SAML pernyataan melewati salah satu atribut ini, Pusat IAM Identitas akan mengganti nilai atribut dengan nilai dari penyimpanan IAM identitas Pusat Identitas. Hanya atribut yang dikonfigurasi di Pusat IAM Identitas yang akan dikirim untuk membuat keputusan kontrol akses saat pengguna bergabung ke akun mereka.

catatan

Anda tidak dapat melihat atribut yang dikonfigurasi dan dikirim oleh iDP eksternal dari halaman Atribut untuk kontrol akses di konsol Pusat IAM Identitas. Jika Anda meneruskan atribut kontrol akses dalam SAML pernyataan dari iDP eksternal Anda, maka atribut tersebut langsung dikirim ke Akun AWS saat pengguna bergabung. Atribut tidak akan tersedia di Pusat IAM Identitas untuk pemetaan.

Aktifkan atribut untuk kontrol akses

Gunakan prosedur berikut untuk mengaktifkan atribut untuk fitur kontrol akses (ABAC) menggunakan konsol Pusat IAM Identitas.

catatan

Jika Anda memiliki set izin yang ada dan Anda berencana untuk mengaktifkan ABAC di instans Pusat IAM Identitas Anda, pembatasan keamanan tambahan mengharuskan Anda untuk terlebih dahulu memiliki iam:UpdateAssumeRolePolicy kebijakan tersebut. Pembatasan keamanan tambahan ini tidak diperlukan jika Anda tidak memiliki set izin yang dibuat di akun Anda.

Untuk mengaktifkan Atribut untuk kontrol akses

  1. Buka konsol Pusat IAM Identitas.

  2. Pilih Pengaturan

  3. Pada halaman Pengaturan, cari kotak Atribut untuk informasi kontrol akses, lalu pilih Aktifkan. Lanjutkan ke prosedur berikutnya untuk mengkonfigurasinya.

Pilih atribut Anda

Gunakan prosedur berikut untuk menyiapkan atribut untuk ABAC konfigurasi Anda.

Untuk memilih atribut Anda menggunakan konsol Pusat IAM Identitas

  1. Buka konsol Pusat IAM Identitas.

  2. Pilih Pengaturan

  3. Pada halaman Pengaturan, pilih tab Atribut untuk kontrol akses, lalu pilih Kelola atribut.

  4. Pada halaman Atribut untuk kontrol akses, pilih Tambahkan atribut dan masukkan detail Kunci dan Nilai. Di sinilah Anda akan memetakan atribut yang berasal dari sumber identitas Anda ke atribut yang diteruskan Pusat IAM Identitas sebagai tag sesi.

    Detail nilai kunci di konsol Pusat IAM Identitas.

    Kunci mewakili nama yang Anda berikan ke atribut untuk digunakan dalam kebijakan. Ini bisa berupa nama sewenang-wenang, tetapi Anda perlu menentukan nama persis itu dalam kebijakan yang Anda buat untuk kontrol akses. Misalnya, katakanlah Anda menggunakan Okta (iDP eksternal) sebagai sumber identitas Anda dan harus meneruskan data pusat biaya organisasi Anda sebagai tag sesi. Di Key, Anda akan memasukkan nama yang sama cocok CostCenterseperti nama kunci Anda. Penting untuk dicatat bahwa nama apa pun yang Anda pilih di sini, itu juga harus diberi nama yang persis sama dalam nama Anda Kunci syarat aws:PrincipalTag (yaitu,). "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"

    catatan

    Gunakan atribut nilai tunggal untuk kunci Anda, misalnya,Manager. IAMIdentity Center tidak mendukung atribut multi-nilai untukABAC, misalnya,Manager, IT Systems.

    Nilai mewakili konten atribut yang berasal dari sumber identitas yang dikonfigurasi. Di sini Anda dapat memasukkan nilai apa pun dari tabel sumber identitas yang sesuai yang tercantum dalamPemetaan atribut untuk direktori AWS Managed Microsoft AD. Misalnya, menggunakan konteks yang disediakan dalam contoh yang disebutkan di atas, Anda akan meninjau daftar atribut idP yang didukung dan menentukan bahwa kecocokan terdekat dari atribut yang didukung akan menjadi ${path:enterprise.costCenter}dan Anda kemudian akan memasukkannya di bidang Nilai. Lihat tangkapan layar yang disediakan di atas untuk referensi. Perhatikan, bahwa Anda tidak dapat menggunakan nilai atribut iDP eksternal di luar daftar ini ABAC kecuali Anda menggunakan opsi untuk meneruskan atribut melalui pernyataan. SAML

  5. Pilih Simpan perubahan.

Sekarang setelah Anda mengonfigurasi pemetaan atribut kontrol akses Anda, Anda harus menyelesaikan proses ABAC konfigurasi. Untuk melakukan ini, buat ABAC aturan Anda dan tambahkan ke set izin dan/atau kebijakan berbasis sumber daya Anda. Ini diperlukan agar Anda dapat memberikan akses identitas pengguna ke AWS sumber daya. Untuk informasi selengkapnya, lihat Membuat kebijakan izin untuk ABAC di Pusat IAM Identitas.

Nonaktifkan atribut untuk kontrol akses

Gunakan prosedur berikut untuk menonaktifkan ABAC fitur dan menghapus semua pemetaan atribut yang telah dikonfigurasi.

Untuk menonaktifkan Atribut untuk kontrol akses

  1. Buka konsol Pusat IAM Identitas.

  2. Pilih Pengaturan

  3. Pada halaman Pengaturan, pilih tab Atribut untuk kontrol akses, lalu pilih Nonaktifkan.

  4. Dalam dialog Nonaktifkan atribut untuk kontrol akses, tinjau informasi dan saat siap masukDELETE, lalu pilih Konfirmasi.

    penting

    Langkah ini menghapus semua atribut yang telah dikonfigurasi. Setelah dihapus, atribut apa pun yang diterima dari sumber identitas dan atribut kustom apa pun yang telah Anda konfigurasikan sebelumnya tidak akan diteruskan.