Atributos para controle de acesso - AWSLogon único

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atributos para controle de acesso

Atributos para controle de acessoÉ o nome da página naAWSConsole SSO no qual você seleciona atributos de usuário que deseja usar em políticas do para controlar o acesso aos recursos do. Os administradores podem atribuir usuários a cargas de trabalho noAWSCom base em atributos existentes na fonte de identidade dos usuários.

Por exemplo, suponha que você deseje atribuir acesso aos buckets do S3 com base em nomes de departamento. Na parte doAtributos para controle de acessopágina, você seleciona oDepartamentoAtributo de usuário para uso com controle de acesso baseado em atributos (ABAC). NoAWSConjunto de permissões SSO e, em seguida, você escreve uma política que concede aos usuários acesso somente quando oDepartamentoatributo corresponde à tag de departamento que você atribuiu aos buckets do S3.AWS O SSO passa o atributo de departamento do usuário para a conta que está sendo acessada. O atributo é então usado para determinar o acesso com base na política. Para obter mais informações sobre o ABAC, consulteControle de acesso baseado em atributos.

Começar a usar

A forma como você começa a configurar atributos para controle de acesso depende de qual fonte de identidade você está usando. Independentemente da fonte de identidade escolhida, depois de selecionar seus atributos, você precisa criar ou editar políticas de conjunto de permissões. Essas políticas devem conceder acesso a identidades do usuário aoAWSrecursos da AWS.

Escolhendo atributos ao usarAWSSSO como fonte de identidade

Quando você configuraAWSSSO como fonte de identidade, primeiro você adiciona usuários e configura seus atributos. Em seguida, navegue até oAtributos para controle de acessoe selecione os atributos que você deseja usar nas políticas. Por fim, navegue até oAWScontaspágina para criar ou editar conjuntos de permissões para usar os atributos do ABAC.

Escolhendo atributos ao usarAWS Managed Microsoft ADcomo sua fonte de identidade

Quando você configuraAWSSSO comAWS Managed Microsoft ADcomo sua origem de identidade, você primeiro mapeia um conjunto de atributos do Active Directory para atributos de usuário emAWSSSO. Em seguida, navegue até oAtributos para controle de acesso. Em seguida, escolha quais atributos usar na configuração do ABAC com base no conjunto existente de atributos SSO mapeados do Active Directory. Por fim, crie regras ABAC usando os atributos de controle de acesso em conjuntos de permissões para conceder acesso a identidades do usuárioAWSrecursos da AWS. Para obter uma lista dos mapeamentos padrão para atributos de usuário emAWSSSO para os atributos do usuário em seuAWS Managed Microsoft ADdiretório, consulteMapeamentos padrão.

Escolhendo atributos ao usar um provedor de identidade externo como fonte de identidade

Quando você configuraAWSSSO com um provedor de identidade externo (IdP) como fonte de identidade, existem duas maneiras de usar atributos para o ABAC.

  • Você pode configurar seu IdP para enviar os atributos por meio de declarações SAML. Nesse caso,AWSO SSO passa o nome e o valor do atributo do IdP para a avaliação da política.

    nota

    Atributos nas afirmações SAML não serão visíveis para você noAtributos para controle de acesso. Você terá que conhecer esses atributos com antecedência e adicioná-los às regras de controle de acesso ao criar políticas. Se você decidir confiar em seu externo IdPs para atributos, esses atributos sempre serão passados quando os usuários se federaremAWScontas. Em cenários em que os mesmos atributos estão chegando ao SSO por meio do SAML e do SCIM, o valor dos atributos SAML tem precedência nas decisões de controle de acesso.

  • Você pode configurar quais atributos você usa a partir doAtributos para controle de acessoPágina noAWSConsole SSO. Os valores de atributos escolhidos aqui substituem os valores de quaisquer atributos correspondentes provenientes de um IdP por meio de uma afirmação. Dependendo se você estiver usando o SCIM, considere o seguinte:

    • Se estiver usando o SCIM, o IdP sincroniza automaticamente os valores do atributo emAWSSSO. Atributos adicionais necessários para controle de acesso podem não estar presentes na lista de atributos SCIM. Nesse caso, considere colaborar com o administrador de TI em seu IdP para enviar esses atributos ao SSO por meio de declarações SAML usando o necessáriohttps://aws.amazon.com/SAML/Attributes/AccessControl:prefixo. Para obter informações sobre como configurar atributos de usuário para controle de acesso no IdP para enviar por meio de asserções SAML, consulteProvedores de identidade com o.

    • Se você não estiver usando o SCIM, você deve adicionar manualmente os usuários e definir seus atributos como se estivesse usandoAWSSSO como fonte de identidade. Em seguida, navegue até oAtributos para controle de acessoe escolha os atributos que você deseja usar nas políticas.

Para obter uma lista completa de atributos com suporte para atributos de usuário emAWSSSO para os atributos do usuário em seus IdPs externos, consulteAtributos de provedor de identidade externo compatíveis.

Para começar a usar o ABAC noAWSSSO, consulte os tópicos a seguir.