アクセスコントロールのための属性の有効化と設定 - AWS IAM Identity Center
アクセスコントロールの属性を有効にする属性を選択します。アクセスコントロールの属性を無効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセスコントロールのための属性の有効化と設定

すべてのケースで ABAC を使用するには、まず IAM Identity Center コンソールまたは IAM Identity Center API を使用して ABAC を有効にする必要があります。IAM Identity Center を使用して属性を選択する場合は、IAM Identity Center コンソールまたは IAM Identity Center API の「アクセスコントロール用の属性」ページを使用します。ID ソースとして外部 ID プロバイダ (IdP) を使用し、SAML アサーションを通じて属性を送信することを選択した場合、属性を渡すように IdP を構成します。SAML アサーションがこれらの属性のいずれかを渡した場合、IAM Identity Center はその属性値を IAM Identity Center ID ストアの値で置き換えます。ユーザーが自身のアカウントにフェデレーションする際に、アクセスコントロールの決定を行うため IAM Identity Center で構成された属性のみが送信されます。

注記

IAM Identity Center コンソールの [アクセスコントロールの属性] ページから、外部 IdP によって構成および送信された属性を表示することはできません。外部 IdP からの SAML アサーションでアクセスコントロール属性を渡している場合は、ユーザーがフェデレーションを行う際に、その属性が AWS アカウント に直接送信されます。その属性は IAM Identity Center でのマッピングには利用できません。

アクセスコントロールの属性を有効にする

IAM Identity Center コンソールを使用してアクセス属性 (ABAC) コントロール機能を有効にする場合は、次の手順で行います。

注記

既存の権限セットがあり、IAM Identity Center インスタンスで ABAC を有効にする予定の場合、まず、追加のセキュリティ制限により、最初に iam:UpdateAssumeRolePolicy ポリシーを設定する必要があります。アカウントにアクセス権限セットを作成していない場合は、これらの追加のセキュリティ制限は必要ありません。

アクセスコントロールの属性を有効にする

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. [設定] ページで、[アクセス制御情報の属性] ボックスを探し、[有効化] を選択します。次の手順に進み、設定します。

属性を選択します。

ABAC 構成の属性を設定は、次の手順で行います。

IAM Identity Center コンソールを使って属性を選択するには

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. [設定] ページで [アクセス制御用の属性] タブを選択し、[属性の管理] を選択します。

  4. [アクセス制御の属性] ページで、[属性を追加] を選択し、[キー] と [] の詳細を入力します。ここでは、ID ソースから送られてくる属性を、IAM Identity Center がセッションタグとして渡す属性にマッピングします。

    キーは、ポリシーで使用するための属性に付ける名前を表します。これは任意の名前で構いませんが、アクセスコントロールのために作成したポリシーでは、その正確な名前を指定する必要があります。例えば、Okta (外部の IdP) を ID ソースとして使用しており、組織のコストセンターのデータをセッションタグとして渡す必要があるとします。キー には、キー名CostCenterと似た名前を入力します。重要なのは、ここでどのような名前を設定しても、aws:PrincipalTag 条件キー (つまり "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}") で、全く同じ名前を設定する必要があります。

    注記

    キーには単一値の属性 (例: Manager) を使用します。IAM Identity Center は ABAC の複数値属性 (例: Manager, IT Systems) をサポートしていません。

    は、設定された ID ソースから取得される属性のコンテンツを表します。ここでは、AWS Managed Microsoft AD  ディレクトリの属性マッピング にリストされている適切な ID ソーステーブルから任意の値を入力できます。例えば、上記の例では、サポートされている IdP 属性リストを確認して最も近い属性である ${path:enterprise.costCenter} を特定し、それをフィールドに入力します。上記のスクリーンショットを参考にしてください。SAML アサーションで属性を渡すオプションを使用しない限り、このリスト以外の外部 IdP の属性値を ABAC に使用することはできません。

  5. [変更を保存] を選択します。

アクセスコントロール属性のマッピング設定できたので、ABAC 設定プロセスを完了させます。そのためには、ABAC ルールを作成し、権限セットやリソースベースのポリシーに追加します。これは、ユーザー ID に AWS リソースへのアクセスを許可するために必要です。詳細については、「IAM Identity Center を使用して ABAC の権限セットを作成する」を参照してください。

アクセスコントロールの属性を無効にする

次の手順で、ABAC 機能を無効にし、設定されていた属性マッピングをすべて削除します。

アクセスコントロールの属性を無効にする

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. [設定] ページで [アクセス制御用の属性] タブを選択し、[無効にする] を選択します。

  4. [アクセス制御の属性を無効にする] ダイアログで情報を確認し、準備ができたら削除と入力し、[確認] を選択します。

    重要

    このステップでは、設定されていたすべての属性を削除します。削除すると、ID ソースから受信した属性や、以前に設定したカスタム属性は渡されません。