Controllo dell'accesso basato sugli attributi

Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. È possibile utilizzare IAM Identity Center per gestire l'accesso ai AWS risorse su più Account AWS utilizzando attributi utente provenienti da qualsiasi fonte di IAM identità di Identity Center. In AWS, questi attributi sono denominati tag. Utilizzo degli attributi utente come tag in AWS ti aiuta a semplificare il processo di creazione di autorizzazioni dettagliate in AWS e garantisce che la tua forza lavoro abbia accesso solo a AWS risorse con tag corrispondenti.

Ad esempio, puoi assegnare agli sviluppatori Bob e Sally, che fanno parte di due team diversi, lo stesso set di autorizzazioni in IAM Identity Center e quindi selezionare l'attributo del nome del team per il controllo degli accessi. Quando Bob e Sally accedono al loro Account AWS, IAM Identity Center invia l'attributo del nome del team nel AWS sessione a cui Bob e Sally possono accedere AWS risorse del progetto solo se l'attributo del nome del team corrisponde al tag del nome del team sulla risorsa del progetto. Se Bob passerà al team di Sally in futuro, puoi modificare il suo accesso semplicemente aggiornando l'attributo del nome del team nella directory aziendale. La prossima volta che Bob accederà, avrà automaticamente accesso alle risorse di progetto del suo nuovo team senza richiedere alcun aggiornamento delle autorizzazioni in AWS.

Questo approccio aiuta anche a ridurre il numero di autorizzazioni distinte che è necessario creare e gestire in IAM Identity Center, poiché gli utenti associati agli stessi set di autorizzazioni possono ora disporre di autorizzazioni uniche in base ai loro attributi. È possibile utilizzare questi attributi utente nei set di autorizzazioni e nelle politiche basate sulle risorse di IAM Identity Center per implementare ABAC AWS risorse e semplifica la gestione delle autorizzazioni su larga scala.

Vantaggi

Di seguito sono riportati i vantaggi aggiuntivi dell'utilizzo ABAC in IAM Identity Center.

ABACrichiede un numero inferiore di set di autorizzazioni: poiché non è necessario creare politiche diverse per diverse funzioni lavorative, è possibile creare un numero inferiore di set di autorizzazioni. Ciò riduce la complessità della gestione delle autorizzazioni.
UtilizzandoABAC, i team possono cambiare e crescere rapidamente: le autorizzazioni per le nuove risorse vengono concesse automaticamente in base agli attributi quando le risorse vengono etichettate in modo appropriato al momento della creazione.
Utilizza gli attributi dei dipendenti presenti nell'elenco aziendale con ABAC: puoi utilizzare gli attributi dei dipendenti esistenti da qualsiasi fonte di identità configurata in IAM Identity Center per prendere decisioni sul controllo degli accessi in AWS.
Tieni traccia di chi accede alle risorse: gli amministratori della sicurezza possono determinare facilmente l'identità di una sessione esaminando gli attributi utente in AWS CloudTrail per tenere traccia delle attività degli utenti in AWS.

Per informazioni su come configurare l'ABACutilizzo della console IAM Identity Center, vedereAttributi per il controllo degli accessi. Per informazioni su come abilitare e configurare l'ABACutilizzo di IAM Identity CenterAPIs, consulta CreateInstanceAccessControlAttributeConfigurationla Guida di API riferimento di IAM Identity Center.

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Riferimento ai set di autorizzazioni

Elenco di controllo: configurazione ABAC in AWS utilizzando Identity Center IAM