Controle de acesso baseado em atributos

O controle de acesso baseado em atributo (Attribute-based access control, ABAC) é uma estratégia de autorização que define permissões com base em atributos. Você pode usar o IAM Identity Center para gerenciar o acesso aos seus AWS recursos em vários Contas da AWS atributos de usuário provenientes de qualquer fonte de identidade do IAM Identity Center. Em AWS, esses atributos são chamados de tags. Usar atributos de usuário como tags AWS ajuda a simplificar o processo de criação de permissões refinadas AWS e garante que sua força de trabalho tenha acesso somente aos AWS recursos com tags correspondentes.

Por exemplo, você pode atribuir aos desenvolvedores Bob e Sally, que são de duas equipes diferentes, o mesmo conjunto de permissões no IAM Identity Center e, em seguida, selecionar o atributo do nome da equipe para controle de acesso. Quando Bob e Sally fazem login Contas da AWS, o IAM Identity Center envia o atributo de nome da equipe na AWS sessão para que Bob e Sally possam acessar os recursos do AWS projeto somente se o atributo do nome da equipe corresponder à tag do nome da equipe no recurso do projeto. Caso Bob se mude para a equipe de Sally futuramente, você poderá modificar o acesso dele simplesmente atualizando o atributo do nome da equipe no diretório corporativo. Na próxima vez que Bob fizer login, ele terá acesso automático aos recursos do projeto de sua nova equipe sem exigir nenhuma atualização de permissões no AWS.

Essa abordagem também ajuda a reduzir o número de permissões distintas que você precisa criar e gerenciar no IAM Identity Center, pois os usuários associados aos mesmos conjuntos de permissões agora podem ter permissões exclusivas com base em seus atributos. Você pode usar esses atributos de usuário nos conjuntos de permissões e nas políticas baseadas em recursos do IAM Identity Center para implementar o ABAC em AWS recursos e simplificar o gerenciamento de permissões em grande escala.

Benefícios

Veja a seguir outros benefícios de usar o ABAC no IAM Identify Center.

O ABAC exige menos conjuntos de permissões — como não é necessário criar políticas diferentes para funções de trabalho diferentes, você cria menos conjuntos de permissões. Isso reduz a complexidade do gerenciamento de permissões.
Usando o ABAC, as equipes podem mudar e crescer rapidamente — as permissões para novos recursos são concedidas automaticamente com base nos atributos quando os recursos são devidamente marcados na criação.
Use atributos de funcionários do seu diretório corporativo com o ABAC — Você pode usar atributos de funcionários existentes de qualquer fonte de identidade configurada no IAM Identity Center para tomar decisões de controle de acesso no AWS.
Rastreie quem está acessando os recursos — Os administradores de segurança podem determinar facilmente a identidade de uma sessão revisando os atributos do usuário AWS CloudTrail para rastrear a atividade do usuário em. AWS

Para obter informações sobre como configurar o ABAC usando o console do IAM Identify Center, consulteAtributos para controle de acesso. Para obter informações sobre como habilitar e configurar o ABAC usando as APIs do IAM Identity Center, consulte CreateInstanceAccessControlAttributeConfigurationo Guia de referência da API do IAM Identity Center.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Excluir conjuntos de permissões

Lista de verificação: Configurando o ABAC AWS usando o IAM Identity Center