在 IAM 身分中心建立 ABAC 的許可政策 - AWS IAM Identity Center
aws:PrincipalTag 條件金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 IAM 身分中心建立 ABAC 的許可政策

您可以建立權限原則,根據設定的屬性值決定誰可以存取您的 AWS 資源。當您啟用 ABAC 並指定屬性時,IAM 身分中心會將已驗證使用者的屬性值傳送至 IAM,以用於政策評估。

aws:PrincipalTag 條件金鑰

您可以使用aws:PrincipalTag條件索引鍵來建立存取控制規則,在權限集中使用存取控制屬性。例如,在下列信任原則中,您可以標記組織中的所有資源與各自的成本中心。您也可以使用單一權限集,授予開發人員存取其成本中心資源的權限。現在,每當開發人員使用單一登入及其成本中心屬性聯合到帳戶時,他們只能存取各自成本中心中的資源。隨著團隊在專案中增加了更多開發人員和資源,您只需要使用正確的成本中心標記資源即可。然後,您會在開發人員聯合到 AWS AWS 帳戶工作階段中傳遞成本中心資訊。因此,隨著組織將新資源和開發人員加入成本中心,開發人員可以管理與其成本中心相符的資源,而無需任何權限更新。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

如需詳細資訊,請參閱 IAM 使用者指南中的aws:PrincipalTagEC2:根據相符的主體和資源標籤啟動或停止執行個體

如果策略在其條件中包含無效屬性,則策略條件將失敗,並拒絕存取。如需詳細資訊,請參閱 錯誤:當使用者嘗試使用外部身分識別提供者登入時,發生未預期的錯誤