Habilite e configure atributos para controle de acesso - AWS IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilite e configure atributos para controle de acesso

Para usar o ABAC em todos os casos, você deve primeiro habilitar o ABAC usando o console do IAM Identity Center ou a API do IAM Identity Center. Se você escolher usar o IAM Identity Center para selecionar atributos, use a página Atributos para controle de acesso no console do IAM Identity Center ou a API do IAM Identity Center. Se você usa o provedor de identidade externo (IdP) como origem de identidade e opta por enviar atributos por meio das asserções do SAML, configure seu IdP para passar os atributos. Se uma asserção SAML passar qualquer um desses atributos, o IAM Identity Center substituirá o valor do atributo pelo valor encontrado no armazenamento de identidades do IAM Identity Center. Somente atributos configurados no IAM Identity Center serão enviados para tomar decisões de controle de acesso quando os usuários se federarem em suas contas.

nota

Você não pode visualizar atributos configurados e enviados por um IdP externo na página Atributos para controle de acesso no console do IAM Identity Center. Se você estiver transmitindo atributos de controle de acesso nas asserções do SAML do seu IdP externo, esses atributos serão enviados diretamente para o Conta da AWS quando os usuários se federarem. Os atributos não estarão disponíveis no IAM Identity Center para mapeamento.

Desabilitar atributos para controle de acesso

Use o seguinte procedimento para ativar o recurso de controle de atributos de acesso (ABAC) usando o console do IAM Identity Center.

nota

Se você tem conjuntos de permissões existentes e planeja habilitar o ABAC em sua instância do IAM Identity Center, restrições de segurança adicionais exigem que você primeiro tenha a política iam:UpdateAssumeRolePolicy. Essas restrições de segurança adicionais não são obrigatórias se você não tiver nenhum conjunto de permissões criado em sua conta.

Atributos para controle de acesso
  1. Abra o console do IAM Identity Center.

  2. Escolha Configurações.

  3. Na página de Configurações, localize a caixa Atributos para informações de controle de acesso e escolha Habilitar. Continue com o próximo procedimento para configurá-lo.

Selecione seus atributos

Use o procedimento a seguir para configurar atributos para sua configuração de ABAC.

Para selecionar seus atributos usando o console do IAM Identity Center
  1. Abra o console do IAM Identity Center.

  2. Escolha Configurações.

  3. Na página Configurações, escolha a guia Atributos para controle de acesso e, em seguida, escolha Gerenciar atributos.

  4. Na página Atributos para controle de acesso, escolha Adicionar atributo e insira os detalhes da chave e do valor. É aqui que você mapeará o atributo proveniente da sua origem de identidade para um atributo que o IAM Identity Center passa como uma tag de sessão.

    A chave representa o nome que você está dando ao atributo para uso em políticas. Pode ser qualquer nome arbitrário, mas você precisa especificar esse nome exato nas políticas que você cria para controle de acesso. Por exemplo, digamos que você esteja usando Okta (um IdP externo) como sua fonte de identidade e precise transmitir os dados do centro de custos da sua organização como tags de sessão. Em Chave, você inseriria um nome com a mesma correspondência, CostCentercomo o nome da sua chave. É importante observar que, seja qual for o nome que você escolher aqui, ele também deve ter o mesmo nome em seu Chave da condição aws:PrincipalTag (ou seja, "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}").

    nota

    Use um atributo de valor único para sua chave, por exemplo, Manager. O IAM Identity Center não oferece suporte a atributos de vários valores para ABAC, por exemplo, Manager, IT Systems.

    O valor representa o conteúdo do atributo proveniente da sua fonte de identidade configurada. Aqui você pode inserir qualquer valor da tabela de origem de identidade apropriada listada em Mapeamentos de atributos para diretório AWS Managed Microsoft AD. Por exemplo, usando o contexto fornecido no exemplo mencionado acima, você analisaria a lista de atributos de IdP suportados e determinaria que a correspondência mais próxima de um atributo suportado seria ${path:enterprise.costCenter} e, em seguida, iria inseri-la no campo Valor. Consulte a captura de tela fornecida acima para referência. Observe que você não pode usar valores de atributos externos do IdP fora dessa lista para o ABAC, a menos que use a opção de transmitir atributos por meio da asserção SAML.

  5. Escolha Salvar alterações.

Agora que você configurou o mapeamento de seus atributos de controle de acesso, você precisa concluir o processo de configuração do ABAC. Para fazer isso, crie suas regras ABAC e adicione-as aos seus conjuntos de permissões e/ou políticas baseadas em recursos. Isso é necessário para que você possa conceder acesso aos recursos AWS às identidades dos usuários. Para ter mais informações, consulte Criar políticas de permissão para ABAC no IAM Identify Center.

Desabilitar atributos para controle de acesso

Use o procedimento a seguir para desativar o recurso ABAC e excluir todos os mapeamentos de atributos que foram configurados.

Para desabilitar atributos para controle de acesso
  1. Abra o console do IAM Identity Center.

  2. Escolha Configurações.

  3. Na página de Configurações, escolha a guia Atributos para controle de acesso e, em seguida, escolha Desativar.

  4. Na caixa de diálogo Desabilitar atributos para controle de acesso, revise as informações e, quando estiver pronto, insira EXCLUIR e escolha Confirmar.

    Importante

    Essa etapa exclui todos os atributos que foram configurados. Depois de excluídos, quaisquer atributos recebidos de uma origem de identidade e quaisquer atributos personalizados que você tenha configurado anteriormente não serão transmitidos.