Attributi per il controllo degli accessi

Attributi per il controllo degli accessi è il nome della pagina nella console IAM Identity Center in cui selezioni gli attributi utente da utilizzare nelle policy per controllare l'accesso alle risorse. Puoi assegnare utenti ai carichi di lavoro in AWS base agli attributi esistenti nella fonte di identità degli utenti.

Ad esempio, supponiamo di voler assegnare l'accesso ai bucket S3 in base ai nomi dei reparti. Nella pagina Attributi per il controllo degli accessi, si seleziona l'attributo utente Department da utilizzare con il controllo degli accessi basato sugli attributi (ABAC). Nel set di autorizzazioni IAM Identity Center, scrivi quindi una policy che concede agli utenti l'accesso solo quando l'attributo Department corrisponde al tag department che hai assegnato ai tuoi bucket S3. IAM Identity Center passa l'attributo department dell'utente all'account a cui si accede. L'attributo viene quindi utilizzato per determinare l'accesso in base alla policy. Per ulteriori informazioni su ABAC, vedereControllo dell'accesso basato sugli attributi.

Nozioni di base

Il modo in cui si inizia a configurare gli attributi per il controllo degli accessi dipende dalla fonte di identità utilizzata. Indipendentemente dalla fonte di identità scelta, dopo aver selezionato gli attributi è necessario creare o modificare le politiche relative ai set di autorizzazioni. Queste politiche devono concedere alle identità degli utenti l'accesso alle AWS risorse.

Scelta degli attributi quando utilizzi IAM Identity Center come fonte di identità

Quando configuri IAM Identity Center come fonte di identità, devi prima aggiungere utenti e configurarne gli attributi. Successivamente, vai alla pagina Attributi per il controllo degli accessi e seleziona gli attributi che desideri utilizzare nelle politiche. Infine, vai alla Account AWSpagina per creare o modificare i set di autorizzazioni per utilizzare gli attributi per ABAC.

Scelta degli attributi da utilizzare AWS Managed Microsoft AD come fonte di identità

Quando configuri IAM Identity Center AWS Managed Microsoft AD come fonte di identità, per prima cosa mappi un set di attributi da Active Directory agli attributi utente in IAM Identity Center. Successivamente, vai alla pagina Attributi per il controllo degli accessi. Scegliete quindi quali attributi utilizzare nella configurazione ABAC in base al set esistente di attributi SSO mappati da Active Directory. Infine, crea le regole ABAC utilizzando gli attributi di controllo degli accessi nei set di autorizzazioni per concedere alle identità degli utenti l'accesso alle risorse. AWS Per un elenco delle mappature predefinite degli attributi utente in IAM Identity Center agli attributi utente nella directory AWS Managed Microsoft AD , consulta. Mappature predefinite

Scelta degli attributi quando si utilizza un provider di identità esterno come fonte di identità

Quando configuri IAM Identity Center con un provider di identità esterno (IdP) come fonte di identità, ci sono due modi per utilizzare gli attributi per ABAC.

Puoi configurare il tuo IdP per inviare gli attributi tramite asserzioni SAML. In questo caso, IAM Identity Center trasmette il nome e il valore dell'attributo dall'IdP per la valutazione delle policy.

Nota
Gli attributi nelle asserzioni SAML non saranno visibili nella pagina Attributi per il controllo degli accessi. Dovrai conoscere questi attributi in anticipo e aggiungerli alle regole di controllo degli accessi quando crei le politiche. Se decidi di affidarti IdPs agli attributi esterni, questi attributi verranno sempre trasmessi quando gli utenti si uniscono Account AWS. Negli scenari in cui gli stessi attributi arrivano a IAM Identity Center tramite SAML e SCIM, il valore degli attributi SAML ha la precedenza nelle decisioni sul controllo degli accessi.
È possibile configurare gli attributi da utilizzare dalla pagina Attributi per il controllo degli accessi nella console IAM Identity Center. I valori degli attributi che scegli qui sostituiscono i valori per tutti gli attributi corrispondenti che provengono da un IdP tramite un'asserzione. A seconda che stiate usando SCIM, considerate quanto segue:
- Se si utilizza SCIM, l'IdP sincronizza automaticamente i valori degli attributi in IAM Identity Center. Gli attributi aggiuntivi necessari per il controllo degli accessi potrebbero non essere presenti nell'elenco degli attributi SCIM. In tal caso, prendi in considerazione la possibilità di collaborare con l'amministratore IT del tuo IdP per inviare tali attributi a IAM Identity Center tramite asserzioni SAML utilizzando il prefisso richiesto. https://aws.amazon.com/SAML/Attributes/AccessControl: Per informazioni su come configurare gli attributi utente per il controllo degli accessi nel tuo IdP da inviare tramite asserzioni SAML, consulta la sezione per Tutorial introduttivi il tuo IdP.
- Se non utilizzi SCIM, devi aggiungere manualmente gli utenti e impostarne gli attributi proprio come se stessi utilizzando IAM Identity Center come fonte di identità. Successivamente, vai alla pagina Attributi per il controllo degli accessi e scegli gli attributi che desideri utilizzare nelle politiche.

Per un elenco completo degli attributi utente supportati dagli attributi utente in IAM Identity Center agli attributi utente esterni IdPs, consultaAttributi del provider di identità esterno supportati.

Per iniziare a usare ABAC in IAM Identity Center, consulta i seguenti argomenti.

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Elenco di controllo: configurazione di ABAC utilizzando IAM Identity Center AWS

Abilita e configura gli attributi per il controllo degli accessi