ABAC per risorse individuali - Le migliori pratiche per etichettare le risorse AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

ABAC per risorse individuali

Gli utenti e i ruoli IAM Identity Center supportano il controllo degli accessi basato sugli attributi (ABAC), che consente di definire l'accesso alle operazioni e alle risorse in base ai tag. ABAC aiuta a ridurre la necessità di aggiornare le politiche di autorizzazione e consente di basare l'accesso sugli attributi dei dipendenti presenti nell'elenco aziendale. Se state già utilizzando una strategia multi-account, ABAC può essere utilizzato in aggiunta al controllo degli accessi basato sui ruoli (RBAC) per fornire a più team che operano sullo stesso account un accesso granulare a risorse diverse. Ad esempio, gli utenti di IAM Identity Center o i ruoli IAM possono includere condizioni per limitare l'accesso a istanze Amazon EC2 specifiche che altrimenti dovrebbero essere elencate esplicitamente in ciascuna policy per potervi accedere.

Poiché un modello di autorizzazione ABAC dipende dai tag per l'accesso alle operazioni e alle risorse, è importante fornire barriere per prevenire accessi involontari. Gli SCP possono essere utilizzati per proteggere i tag in tutta l'organizzazione, consentendone la modifica solo in determinate condizioni. I blog Protezione dei tag delle risorse utilizzati per l'autorizzazione utilizzando una policy di controllo dei servizi in AWS Organizations e Limiti delle autorizzazioni per le entità IAM forniscono informazioni su come implementarla.

Laddove le istanze Amazon EC2 di lunga durata vengono utilizzate per supportare pratiche operative più tradizionali, questo approccio può essere utilizzato, il blog Configure IAM Identity Center ABAC for Amazon EC2 instances and Systems Manager Session Manager tratta in modo più dettagliato questa forma di controllo degli accessi basato sugli attributi. Come accennato in precedenza, non tutti i tipi di risorse supportano l'etichettatura e, tra quelli che lo fanno, non tutti supportano l'applicazione tramite politiche di tag, quindi è una buona idea valutarlo prima di iniziare a implementare questa strategia su unAccount AWS.

Per informazioni sui servizi che supportano ABAC, consulta AWSServizi compatibili con IAM.