Atributos para controle de acesso - AWS IAM Identity Center

Atributos para controle de acesso

Atributos para controle de acesso é o nome da página no console do IAM Identity Center em que você seleciona os atributos do usuário que deseja usar nas políticas para controlar o acesso aos recursos. Você pode atribuir usuários às cargas de trabalho em AWS com base nos atributos existentes na fonte de identidade dos usuários.

Por exemplo, suponha que você deseje atribuir acesso aos buckets do S3 com base nos nomes de departamento. Na página Atributos para controle de acesso, selecione o atributo de usuário do Departamento para uso com controle de acesso por atributo (ABAC). No conjunto de permissões do IAM Identity Center, você então escreve uma política que conceda acesso aos usuários somente quando o atributo Departamento corresponder à tag de departamento que você atribuiu aos seus buckets do S3. O IAM Identity Center passa o atributo de departamento do usuário para a conta que está sendo acessada. O atributo é então usado para determinar o acesso com base na política. Para ter mais informações sobre o ABAC, consulte Controle de acesso baseado em atributos.

Conceitos básicos

A forma como você começa a configurar atributos para controle de acesso depende da origem de identidade que você está usando. Independentemente da origem de identidade escolhida, depois de selecionar seus atributos, você precisa criar ou editar políticas de conjunto de permissões. Essas políticas devem conceder às identidades dos usuários acesso aos recursos AWS.

Escolha de atributos ao usar o IAM Identity Center como sua origem de identidade

Ao configurar o IAM Identity Center como origem de identidade, primeiro você adiciona usuários e configura seus atributos. Em seguida, navegue até a página Atributos para controle de acesso e selecione os atributos que você deseja usar nas políticas. Por fim, navegue até a página Contas da AWS para criar ou editar conjuntos de permissões para usar os atributos do ABAC.

Escolha de atributos ao usar AWS Managed Microsoft AD como origem de identidade

Ao configurar o IAM Identity Center com AWS Managed Microsoft AD como origem de identidade, primeiro mapeie um conjunto de atributos do Active Directory para os atributos do usuário no IAM Identity Center. Em seguida, navegue até a página Atributos para controle de acesso. Em seguida, escolha quais atributos usar em sua configuração ABAC com base no conjunto existente de atributos de SSO mapeados do Active Directory. Por fim, crie regras ABAC usando os atributos de controle de acesso nos conjuntos de permissões para conceder às identidades dos usuários acesso aos recursos AWS. Para obter uma lista dos mapeamentos padrão dos atributos do usuário no IAM Identity Center para os atributos do usuário em seu diretório AWS Managed Microsoft AD, consulte Mapeamentos padrão.

Escolher atributos ao usar um provedor de identidade externo como origem de identidade

Quando você configura o IAM Identity Center com um provedor de identidade externo (IdP) como sua origem de identidade, há duas maneiras de usar atributos para o ABAC.

  • Você pode configurar seu IdP para enviar os atributos por meio de asserções do SAML. Nesse caso, o IAM Identity Center passa o nome e o valor do atributo do IdP para avaliação da política.

    nota

    Os atributos nas asserções do SAML não estarão visíveis para você na página Atributos para controle de acesso. Você precisará conhecer esses atributos com antecedência e adicioná-los às regras de controle de acesso ao criar políticas. Se você decidir confiar nos atributos de seus IdPs externos, esses atributos sempre serão transmitidos quando os usuários se federarem nas Contas da AWS. Em cenários em que os mesmos atributos estão chegando ao IAM Identity Center por meio de SAML e SCIM, o valor dos atributos SAML tem precedência nas decisões de controle de acesso.

  • Você pode configurar quais atributos usar na página Atributos para controle de acesso no console do IAM Identity Center. Os valores de atributos escolhidos aqui substituem os valores de qualquer atributo correspondente proveniente de um IdP por meio de uma declaração. Dependendo se você estiver usando o SCIM, considere o seguinte:

    • Se estiver usando o SCIM, o IdP sincroniza automaticamente os valores dos atributos no IAM Identity Center. Atributos adicionais necessários para o controle de acesso podem não estar presentes na lista de atributos do SCIM. Nesse caso, considere colaborar com o administrador de TI em seu IdP para enviar esses atributos ao IAM Identity Center por meio de declarações SAML usando o prefixo https://aws.amazon.com/SAML/Attributes/AccessControl: necessário. Para obter informações sobre como configurar atributos de usuário para controle de acesso em seu IdP para enviar por meio de asserções SAML, consulte os Tutoriais sobre fontes de identidades do IAM Identity Center para o seu IdP.

    • Se você não estiver usando o SCIM, deverá adicionar manualmente os usuários e definir seus atributos, como se estivesse usando o IAM Identity Center como origem de identidade. Em seguida, navegue até a página Atributos para controle de acesso e escolha os atributos que você deseja usar nas políticas.

Para obter uma lista completa dos atributos de usuário compatíveis no IAM Identity Center com relação aos atributos de usuário em seus IdPs externos, consulte Atributos de provedor de identidade externo compatíveis.

Para começar a usar o ABAC no IAM Identify Center, consulte os tópicos a seguir.