Criar políticas de permissão para ABAC no IAM Identify Center - AWS IAM Identity Center
Chave da condição aws:PrincipalTag

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar políticas de permissão para ABAC no IAM Identify Center

Você pode criar políticas de permissões que determinam quem pode acessar seus recursos da AWS com base nos valores de atributo configurados. Quando você habilita o ABAC e especifica atributos, o IAM Identity Center passa para o IAM o valor do atributo do usuário autenticado para uso na avaliação de políticas.

Chave da condição aws:PrincipalTag

Você pode usar atributos de controle de acesso em seus conjuntos de permissões usando a chave de condição aws:PrincipalTag para criar regras de controle de acesso. Por exemplo, na política de confiança a seguir, você pode marcar todos os recursos da sua organização com seus respectivos centros de custo. Você também pode usar um único conjunto de permissões que conceda aos desenvolvedores acesso aos recursos do centro de custos. Agora, sempre que os desenvolvedores se federarem na conta usando o login único e seu atributo de centro de custos, eles só têm acesso aos recursos em seus respectivos centros de custo. À medida que a equipe adiciona mais desenvolvedores e recursos ao projeto, você só precisa marcar os recursos com o centro de custos correto. Em seguida, você passa as informações do centro de custos na AWS sessão quando os desenvolvedores se Contas da AWS federam. Como resultado, à medida que a organização adiciona novos recursos e desenvolvedores ao centro de custos, os desenvolvedores podem gerenciar recursos alinhados a seus centros de custo sem precisar de nenhuma atualização de permissão.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Para obter mais informações, consulte aws:PrincipalTag e EC2: Iniciar ou interromper instâncias com base na correspondência das tags principal e de recurso no Guia do usuário do IAM.

Se as políticas contiverem atributos inválidos em suas condições, a condição da política falhará e o acesso será negado. Para ter mais informações, consulte Erro “Ocorreu um erro inesperado” quando um usuário tenta fazer login usando um provedor de identidades externo.