属性ベースのアクセスコントロール - AWS Single Sign-On

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

属性ベースのアクセスコントロール

属性ベースのアクセスコントロール (ABAC) は、属性に基づいてアクセス許可を定義する認可戦略です。次を使用できます。AWSへのアクセスを管理するための SSOAWS複数のアカウントにわたるリソースAWS任意のユーザー属性を使用するアカウントAWSSSO ID ソース。AWS では、これらの属性はタグと呼ばれます。でユーザー属性をタグとして使用するAWSのきめ細かなアクセス権限を作成するプロセスを簡素化します。AWSまた、従業員がAWSタグが一致するリソース。

例えば、2 つの異なるチームに所属する開発者 Bob と Sally を AWS SSO で同じアクセス権限セットに割り当て、アクセスコントロールにチーム名属性を選択することができます。ボブとサリーが彼らのメンバーにサインインしたときAWSアカウント、AWSSSO はチーム名属性をAWSボブとサリーがアクセスできるようにセッションAWSプロジェクトリソースは、チーム名属性がプロジェクトリソースのチーム名タグと一致する場合のみ。将来、Bob が Sally のチームに移った場合、コーポレートディレクトリのチーム名属性を更新するだけで、Bob のアクセスを変更することができます。次回サインインすると、でアクセス権限の更新を必要とせず、自動的に新しいチームのプロジェクトリソースにアクセスできるようになります。AWS。

このアプローチは、AWS SSO で作成したり、管理しなければならない個別のパーミッションの数を減らすのにも役立ちます。これは、同じアクセス権限セットに関連付けられたユーザーが、その属性に基づいて独自の権限を持つことができるようになったためです。これらのユーザ属性は、AWSABAC を実装するための SSO アクセス権限セットとリソースベースのポリシーAWSリソースを提供し、大規模な権限管理を簡素化します。

利点

AWS SSO で ABAC を使用すると、以下のようなメリットがあります。

  • ABAC では必要なアクセス権限セットの数が少ない - 職務ごとに異なるポリシーを作成する必要がないため、アクセス権限セットの数も少なくて済みます。これにより、許可管理の複雑さを軽減できます。

  • ABAC を使用することで、チームは変化し、急速に成長することができる - リソースの作成時に適切なタグが付けられれば、属性に基づいて新しいリソースの権限が自動的に付与されます。

  • ABAC を使用して、社内ディレクトリの従業員属性を使用します。で設定した任意のアイデンティティソースから既存の従業員属性を使用できます。AWSSSO でアクセス制御を決定するAWS。

  • リソースにアクセスしているユーザーを追跡する — セキュリティ管理者は、AWS CloudTrail でユーザー属性を確認して、AWS でユーザーの活動を追跡することで、セッション ID を容易に割り出すことができます。

AWS SSO コンソールを使って ABAC を設定する方法については、「アクセスコントロールの属性」を参照してください。を使用して ABAC を有効にして設定する方法については、「」を参照してください。AWSSSO API については、を参照してください。インスタンスの作成アクセス制御アトリビュートの構成のAWSSSO API リファレンスガイド。