单独资源的 ABAC

IAM Identity Center 用户和 IAM 角色支持基于属性的访问权限控制 (ABAC)，允许您根据标签定义对操作和资源的访问。ABAC 有助于减少更新权限策略的需求，并帮助您根据公司目录中的员工属性进行访问。如果您已经在使用多账户策略，则除了基于角色的访问权限控制 (RBAC) 外，还可以使用 ABAC 为在同一账户中操作的多个团队提供对不同资源的精细访问权限。例如，IAM Identity Center 用户或 IAM 角色可以包含限制访问特定 Amazon EC2 实例的条件，否则这些实例必须在每个策略中明确列出才能访问。

由于 ABAC 授权模式依赖于标签来访问操作和资源，因此一定要提供防护栏以防止意外访问。SCP 仅允许在特定条件下修改标签，从而可用于保护整个组织的标签。在 AWS Organizations和 IAM 实体的权限边界中使用服务控制策略确保用于授权的资源标签安全的博客中，提供了有关如何实施的信息。

如果使用使用期长的 Amazon EC2 实例来支持更传统的操作实践，则可以使用这种方法，在为 Amazon EC2 实例和系统管理器会话管理器配置 IAM Identity Center ABAC 的博客中更详细地讨论了这种基于属性的访问控制形式。如前所述，并非所有资源类型都支持标记，而在支持标记的资源类型中，也并非所有资源类型都支持使用标记策略来执行，因此在 AWS 账户 上开始实施这一策略之前，最好先对此进行评估。

要了解支持 ABAC 的服务，请参阅与 IAM 一起使用的 AWS 服务。