Crea politiche di autorizzazione per ABAC in IAM Identity Center - AWS IAM Identity Center
Chiave di condizione aws:PrincipalTag

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea politiche di autorizzazione per ABAC in IAM Identity Center

Puoi creare politiche di autorizzazione che determinano chi può accedere alle tue AWS risorse in base al valore dell'attributo configurato. Quando abiliti ABAC e specifichi gli attributi, IAM Identity Center trasmette il valore dell'attributo dell'utente autenticato a IAM per utilizzarlo nella valutazione delle policy.

Chiave di condizione aws:PrincipalTag

È possibile utilizzare gli attributi di controllo degli accessi nei set di autorizzazioni utilizzando la chiave di aws:PrincipalTag condizione per creare regole di controllo degli accessi. Ad esempio, nella seguente politica di fiducia è possibile etichettare tutte le risorse dell'organizzazione con i rispettivi centri di costo. È inoltre possibile utilizzare un unico set di autorizzazioni che consente agli sviluppatori di accedere alle risorse dei propri centri di costo. Ora, ogni volta che gli sviluppatori si uniscono all'account utilizzando il Single Sign-On e l'attributo relativo al centro di costo, ottengono l'accesso solo alle risorse dei rispettivi centri di costo. Man mano che il team aggiunge più sviluppatori e risorse al proprio progetto, devi solo etichettare le risorse con il centro di costo corretto. Quindi trasmetti le informazioni sui centri di costo nella AWS sessione in cui gli sviluppatori si uniscono Account AWS. Di conseguenza, man mano che l'organizzazione aggiunge nuove risorse e gli sviluppatori al centro di costo, gli sviluppatori possono gestire le risorse in linea con i propri centri di costo senza bisogno di aggiornamenti delle autorizzazioni.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Per ulteriori informazioni, consulta aws:PrincipalTage EC2: Avvia o interrompi le istanze in base alla corrispondenza dei tag principali e di risorsa nella IAM User Guide.

Se le policy contengono attributi non validi nelle loro condizioni, la condizione della policy fallirà e l'accesso verrà negato. Per ulteriori informazioni, consulta Errore «Si è verificato un errore imprevisto» quando un utente tenta di accedere utilizzando un provider di identità esterno.