ABAC para o Amazon ABAC - Práticas recomendadas para marcação de recursos da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

ABAC para o Amazon ABAC

Automação do KMS com base no ABAC (ABAC), o fornece chaves de condição que controlam o acesso a uma chave do KMS. O ABAC ajuda a reduzir a necessidade de atualizar as políticas de permissão e ajuda você a basear o acesso nos atributos dos funcionários do seu diretório corporativo. Se você já estiver usando uma estratégia de várias contas, o ABAC pode ser usado além do controle de acesso baseado em funções (RBAC) para fornecer a várias equipes que operam na mesma conta acesso granular a diferentes recursos. Por exemplo, usuários do IAM Identity Center ou funções do IAM podem incluir condições para limitar o acesso a instâncias específicas do Amazon EC2 que, de outra forma, precisariam ser listadas explicitamente em cada política para acessá-las.

Como um modelo de autorização ABAC depende de tags para acesso às operações e aos recursos, é importante fornecer grades de proteção para evitar o acesso não intencional. Os SCPs podem ser usados para proteger as tags em sua organização, permitindo que as tags sejam modificadas somente sob determinadas condições. Por exemplo, é possível definir um conjunto de tags que controlam o acesso a uma política completa com uma análise detalhada do KMS AWS Organizations

Onde instâncias de longa duração do Amazon EC2 estão sendo usadas para apoiar práticas operacionais mais tradicionais, então essa abordagem pode ser utilizada, o blog Configure IAM Identity Center ABAC for Amazon EC2 instances and Systems Manager Session Manager discute essa forma de controle de acesso baseado em atributos com mais detalhes. Conforme mencionado anteriormente, nem todos os tipos de recursos oferecem suporte à marcação e, dos que oferecem, nem todos oferecem suporte à fiscalização usando políticas de tags. Portanto, é uma boa ideia avaliar isso antes de começar a implementar essa estratégia em uma Conta da AWS.

Para saber mais sobre os serviços que oferecem suporte ao ABAC, consulte serviços AWS que funcionam com o IAM.