檢查清單： AWS 使用IAM身分識別中心設定 ABAC

此檢查清單包含準備 AWS 資源和設定IAM身分識別中心進行ABAC存取所需的組態工作。依序完成此檢查清單中的工作。當參考連結帶您前往某個主題時，請返回本主題，以便您可以繼續執行此檢查清單中的剩餘工作。

步驟	任務	參考資料
1	查看如何在所有 AWS 資源中新增標籤。若要ABAC在 IAM Identity Center 中實作，您首先需要將標籤新增至您要實作ABAC的所有 AWS 資源。	標記 AWS 資源
2	檢閱如何在 IAM Identity Center 中使用您的身分識別存放區中關聯的使用者身分識別和屬性來設定身分識別來源。IAM身分識別中心可讓您使用中任何支援IAM身分識別中心身分識別來源的使用者屬性 AWS。ABAC	管理身分識別來源
3	根據下列條件，決定您要使用哪些屬性做出存取控制決策， AWS 並將其傳送至IAM身分識別中心。	開始使用
	如果您使用外部身分識別提供者 (IdP)，請決定是要使用從 IdP 傳遞的屬性，還是要從IAM身分識別中心內選取屬性。	使用外部身分識別提供者做為身分識別來源時選擇屬性
	如果您選擇讓 IdP 傳送屬性，請將 IdP 設定為在宣告中SAML傳輸屬性。請參閱教學課程中有關您特定 IdP 的Optional章節。	入門教學課程
	如果您使用 IdP 做為身分識別來源，並選擇在 I IAM dentity Center 中選取屬性，請調查如何進行配置，SCIM以便屬性值來自您的 IdP。如果您無法與 IdP SCIM 搭配使用，請使用 I IAM dentity Center 主控台的 [使用者] 頁面新增使用者及其屬性。	自動佈建 支援的外部身分識別提供
	如果您使用 Active Directory 或IAM身分識別中心做為身分識別來源，或者您使用 IdP 並選擇在IAM身分識別中心中選取屬性，請檢閱您可以設定的可用屬性。然後立即跳至步驟 4，開始使用IAM身分識別中心主控台設定ABAC屬性。	使用IAM身分識別中心做為身分識別來源時選擇屬性 當用 AWS Managed Microsoft AD 作身分識別來源時選擇屬性 預設對映
4	選取要用於在 IAM Identity Center 主控台中ABAC使用存取控制的屬性頁面的屬性。從此頁面，您可以從您在步驟 2 中設定的身分識別來源選取存取控制的屬性。在您的身分識別及其屬性位於 IAM Identity Center 之後，您必須建立鍵值配對 (對應)，這些對應會傳遞給您 AWS 帳戶 ，以便在存取控制決策中使用。	啟用和設定存取控制的屬性
5	在您的權限集內建立自訂權限原則，並使用存取控制屬性建立ABAC規則，讓使用者只能存取具有相符標籤的資源。您在步驟 4 中配置的使用者屬性會用作存取控制決策的標籤。 AWS 您可以使用條件參照權限原則中的存取控制屬aws:PrincipalTag/key性。	ABAC在IAM身分識別中心中建立權限原則
6	在您的各種情況下 AWS 帳戶，將使用者指派給您在步驟 5 中建立的權限集。這樣做可確保當他們聯合到其帳戶並訪問 AWS 資源時，他們只能根據匹配的標籤獲得訪問權限。	指派使用者存取權給 AWS 帳戶

完成這些步驟後，聯合到 AWS 帳戶 使用單一登入的使用者將可以根據相符屬性存取其 AWS 資源。