基于属性的访问控制

基于属性的访问控制 (ABAC) 是一种基于属性定义权限的授权策略。你可以使用 IAM Identity Center 来管理对你的访问权限 AWS 跨多个资源 AWS 账户 使用来自任何IAM身份中心身份源的用户属性。In AWS，这些属性称为标签。使用用户属性作为标签 AWS 帮助您简化在中创建细粒度权限的过程 AWS 并确保您的员工只能访问 AWS 带有匹配标签的资源。

例如，您可以将来自两个不同团队的开发者 Bob 和 Sally 分配给 Ident IAM ity Center 中的相同权限集，然后选择团队名称属性进行访问控制。当 Bob 和 Sally 登录他们的 AWS 账户，IAMIdentity Center 将他们的队名属性发送到 AWS 会话这样 Bob 和 Sally 就可以访问了 AWS 仅当项目资源的团队名称属性与项目资源上的团队名称标签相匹配时。如果 Bob 将来转到 Sally 的团队，您只需在公司目录中更新他的团队名称属性即可修改他的访问权限。当 Bob 下次登录时，他将自动获得对新团队的项目资源的访问权限，而无需更新任何权限 AWS.

这种方法还有助于减少您需要在 Ident IAM ity Center 中创建和管理的不同权限的数量，因为与相同权限集关联的用户现在可以根据其属性拥有唯一权限。您可以在 Ident IAM ity Center 权限集和基于资源的策略中使用这些用户属性来实现 ABAC AWS 资源并大规模简化权限管理。

优势

以下是在 Ident IAM ity Center ABAC 中使用的其他好处。

• ABAC需要更少的权限集-由于您不必为不同的工作职能创建不同的策略，因此可以创建更少的权限集。这降低了权限管理的复杂性。

• 使用ABAC，团队可以快速变化和成长 — 当资源在创建时被适当标记时，系统会根据属性自动授予新资源的权限。

• 使用公司目录中的员工属性 ABAC — 您可以使用在 I dentity Center 中配置的任何IAM身份源的现有员工属性来做出访问控制决策 AWS.

• 跟踪谁在访问资源 — 安全管理员可以通过查看中的用户属性来轻松确定会话的身份 AWS CloudTrail 跟踪用户活动 AWS.

有关如何ABAC使用 Ident IAM ity Center 控制台进行配置的信息，请参阅访问控制属性。有关如何ABAC使用IAM身份中心启用和配置的信息APIs，请参阅《IAM身份中心API参考指南》CreateInstanceAccessControlAttributeConfiguration中的。

主题

• 清单：ABAC在中进行配置 AWS 使用IAM身份中心
• 访问控制属性