本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon SQS 的屬性型存取控制
ABAC 是什麼?
屬性型存取控制 (ABAC) 是一種授權程序,可根據連接至使用者 AWS 和資源的標籤來定義許可。ABAC 根據屬性和值提供精細且靈活的存取控制,降低與重新設定角色型政策相關的安全風險,並集中進行稽核及存取政策管理。如需更多有關 ABAC 的詳細資訊,請參閱《IAM 使用者指南》中的什麼是適用於 AWS的 ABAC。
Amazon SQS 支援 ABAC 的方式是讓您根據與 Amazon SQS 佇列相關聯的標籤和別名來控制對 Amazon SQS 佇列的存取。在 Amazon SQS 中啟用 ABAC 的標籤和別名條件金鑰,授權給 IAM 主體使用 Amazon SQS 佇列,而無需編輯政策或管理授與。若要進一步了解 ABAC 條件金鑰,請參閱服務授權參考中的 Amazon SQS 條件金鑰。
若使用 ABAC,您可以使用標籤為 Amazon SQS 佇列設定 IAM 存取許可和政策,以協助您擴展許可權限管理範圍。您可以使用新增至每個商務角色的標籤,在 IAM 中建立單一許可政策,而不必在每次新增資源時更新政策。您也可以將標籤連接至 IAM 主體,以建立 ABAC 政策。當進行呼叫的 IAM 使用者角色上的標籤與 Amazon SQS 佇列標籤相符時,您可以設計 ABAC 政策來允許 Amazon SQS 作業。若要進一步了解如何標記 AWS,請參閱AWS 標記策略和 Amazon SQS 成本分配標籤。
注意
ABAC for Amazon SQS 目前可在所有可使用 Amazon SQS AWS 的商業區域使用,但以下情況除外:
-
亞太區域 (海德拉巴)
-
亞太區域 (墨爾本)
-
歐洲 (西班牙)
-
歐洲 (蘇黎世)
為什麼一定要在 Amazon SQS 中使用 ABAC?
以下是在 Amazon SQS 中使用 ABAC 的一些好處:
-
Amazon SQS 的 ABAC 需要較少的許可政策。您不需要為不同的工作職能建立不同政策。您可以使用套用至一個以上的佇列的資源和請求標籤,如此可降低營運成本。
-
使用 ABAC 快速擴展團隊。當資源在建立期間適當標記,就會根據標籤自動授予新資源許可權。
-
使用 IAM 主體的許可權來限制資源存取。您可以為 IAM 主體建立標籤,並使用這些標籤來限制對符合 IAM 主體標籤之特定動作的存取。這可協助您將授與請求權限的程序自動化。
-
追蹤誰在存取您的資源。您可以透過查看 AWS CloudTrail中的使用者屬性來判斷工作階段的身分識別。
