Atributos para controle de acesso - AWSLogon único

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atributos para controle de acesso

Atributos para controle de acessoÉ o nome da página noAWSConsole SSO onde você seleciona atributos de usuário que deseja usar em políticas do para controlar acesso a recursos do. Os administradores podem atribuir usuários a cargas de trabalho noAWSCom base em atributos existentes na fonte de identidade do usuário.

Por exemplo, suponha que você deseje atribuir acesso a buckets do S3 com base em nomes de departamento. NoAtributos para controle de acesso, você seleciona a caixa de seleçãoDepartamentoAtributo de usuário para uso com base em atributos (ABAC). NoAWSSSO conjunto de permissões, em seguida, escreva uma política que concede aos utilizadores acesso apenas quando oDepartamentocorresponde à marca de departamento que você atribuiu aos buckets do S3.AWS O SSO passa o atributo de departamento do usuário para a conta que está sendo acessada. O atributo é então usado para determinar o acesso com base na política. Para obter mais informações sobre ABAC, consulteControle de acesso com base em atributos.

Conceitos básicos

Como começar a configurar atributos para controle de acesso depende da fonte de identidade que você está usando. Independentemente da origem de identidade escolhida, depois de selecionar seus atributos, você precisará criar ou editar políticas de conjunto de permissões. Essas políticas devem conceder acesso às identidades de usuário aoAWSrecursos da AWS.

Escolhendo atributos ao usarAWSSSO como sua fonte de identidade

Quando você configuraAWSSSO como fonte de identidade, você primeiro adiciona usuários e configura seus atributos. Em seguida, navegue até oAtributos para controle de acessoe selecione os atributos que deseja usar nas políticas. Finalmente, navegue até oAWScontaspara criar ou editar conjuntos de permissões para usar os atributos para ABAC.

Escolhendo atributos ao usarAWS Managed Microsoft ADcomo sua fonte de identidade

Quando você configuraAWSSSO comAWS Managed Microsoft ADcomo sua origem de identidade, você mapeia primeiro um conjunto de atributos do Active Directory para atributos de usuário noAWSSSO. Em seguida, navegue até oAtributos para controle de acesso. Em seguida, escolha quais atributos usar na sua configuração ABAC com base no conjunto existente de atributos SSO mapeado do Active Directory. Finalmente, crie regras ABAC usando os atributos de controle de acesso em conjuntos de permissões para conceder acesso de identidades de usuário aoAWSrecursos da AWS. Para obter uma lista dos mapeamentos padrão para atributos de usuário noAWSSSO para os atributos de usuário em seuAWS Managed Microsoft ADdiretório, consulteMapeamentos padrão.

Escolhendo atributos ao usar um provedor de identidade externo como sua origem de identidade

Quando você configuraAWSSSO com um provedor de identidade externo (IdP) como sua origem de identidade, há duas maneiras de usar atributos para ABAC.

  • Você pode configurar seu IdP para enviar os atributos por meio de asserções do SAML. Neste caso,AWSO SSO passa o nome e o valor do atributo do IdP para a avaliação da política.

    nota

    Atributos em asserções SAML não estarão visíveis para você noAtributos para controle de acesso. Você terá que conhecer esses atributos com antecedência e adicioná-los às regras de controle de acesso ao criar políticas. Se você decidir confiar em seus IdPs externos para atributos, esses atributos sempre serão passados quando os usuários federarem emAWScontas. Em cenários em que os mesmos atributos estão chegando ao SSO por meio do SAML e do SCIM, o valor dos atributos do SAML tem precedência nas decisões de controle de acesso.

  • Você pode configurar quais atributos você usa a partir doAtributos para controle de acessonaAWSConsole SSO. Os valores de atributos escolhidos aqui substituem os valores de quaisquer atributos correspondentes provenientes de um IdP por meio de uma asserção. Dependendo de se você estiver usando o SCIM, considere o seguinte:

    • Se estiver usando o SCIM, o IdP sincroniza automaticamente os valores de atributo emAWSSSO. Atributos adicionais que são necessários para o controle de acesso podem não estar presentes na lista de atributos SCIM. Nesse caso, considere colaborar com o administrador de TI em seu IdP para enviar esses atributos ao SSO por meio de asserções SAML usando ohttps://aws.amazon.com/SAML/Attributes/AccessControl:prefixo. Para obter informações sobre como configurar atributos de usuário para controle de acesso em seu IdP para enviar através de asserções SAML, consulteProvedores de identidade compatíveis.

    • Se você não estiver usando o SCIM, você deve adicionar manualmente os usuários e definir seus atributos como se estivesse usando oAWSSSO como uma fonte de identidade. Em seguida, navegue até oAtributos para controle de acessoe escolha os atributos que deseja usar nas políticas.

Para obter uma lista completa de atributos suportados para atributos de usuário noAWSSSO para os atributos de usuário em seus IdPs externos, consulteAtributos de provedor de identidade externo compatíveis.

Para começar a usar o ABAC noAWSSSO, consulte os tópicos a seguir.