属性ベースのアクセスコントロール

属性ベースのアクセス制御 (ABAC) は、属性に基づいて権限を定義する認可戦略です。IAM Identity Center を使用して、任意の IAM Identity Center ID ソースから取得したユーザー属性 AWS アカウント を使用して、複数の のリソースへのアクセス AWS を管理できます。では AWS、これらの属性はタグと呼ばれます。でユーザー属性 AWS をタグとして使用する AWS と、 できめ細かなアクセス許可を作成するプロセスが簡素化され、タグが一致する AWS リソースにのみワークフォースがアクセスできるようになります。

例えば、2 つの異なるチームに所属する開発者ボブとサリーを IAM Identity Center で同じアクセス権限セットに割り当て、アクセスコントロールにチーム名属性を選択することができます。Bob と Sally が にサインインすると AWS アカウント、IAM Identity Center は AWS セッションでチーム名属性を送信するため、Bob と Sally はチーム名属性が AWS プロジェクトリソースのチーム名タグと一致する場合にのみプロジェクトリソースにアクセスできます。将来、Bob が Sally のチームに移った場合、コーポレートディレクトリのチーム名属性を更新するだけで、Bob のアクセスを変更することができます。次回、ボブがサインインすると、 AWSでの権限の更新を必要とせず、自動的に新しいチームのプロジェクトリソースにアクセスできるようになります。

このアプローチは、IAM Identity Center で作成したり、管理しなければならない個別のパーミッションの数を減らすのにも役立ちます。これは、同じアクセス権限セットに関連付けられたユーザーが、その属性に基づいて独自の権限を持つことができるようになったためです。これらのユーザー属性を IAM Identity Center のアクセス許可セットとリソースベースのポリシーで使用して、 AWS リソースに ABAC を実装し、大規模なアクセス許可管理を簡素化できます。

利点

IAM Identity Center で ABAC を使用すると、以下のようなメリットがあります。

• ABAC では必要なアクセス権限セットの数が少ない - 職務ごとに異なるポリシーを作成する必要がないため、アクセス権限セットの数も少なくて済みます。これにより、許可管理の複雑さを軽減できます。

• ABAC を使用することで、チームは変化し、急速に成長することができる - リソースの作成時に適切なタグが付けられれば、属性に基づいて新しいリソースの権限が自動的に付与されます。

• ABAC で社内ディレクトリの従業員属性を利用する - IAM Identity Center で構成された任意の ID ソースから既存の従業員属性を使用して、 AWSでのアクセスコントロールの決定を行うことができます。

• リソースにアクセスしているユーザーを追跡する – セキュリティ管理者は、 のユーザー属性を確認して のユーザーアクティビティを追跡することで AWS CloudTrail 、セッションのアイデンティティを簡単に判断できます AWS。

IAM Identity Center コンソールを使って ABAC を設定する方法については、「アクセスコントロールの属性」を参照してください。IAM Identity Center APIs「」を参照してください。 CreateInstanceAccessControlAttributeConfiguration

トピック

• チェックリスト: IAM Identity Center AWS を使用した での ABAC の設定
• アクセスコントロールの属性