啟用和設定存取控制的屬性

若要在所有情況下使用 ABAC，您必須先使用 IAM 身分中心主控台或 IAM 身分中心 API 啟用 ABAC。如果您選擇使用 IAM 身分中心選取屬性，請使用 IAM 身分中心主控台或 IAM 身分中心 API 中的存取控制屬性頁面。如果您使用外部身分識別提供者 (IdP) 做為身分識別來源，並選擇透過 SAML 宣告傳送屬性，則您可以將 IdP 設定為傳遞屬性。如果 SAML 宣告傳遞上述任何屬性，IAM Identity Center 會將屬性值取代為 IAM Identity Center 身分存放區中的值。當使用者聯合到其帳戶時，只有在 IAM 身分中心設定的屬性才會傳送，以便做出存取控制決策。

注意

您無法從 IAM 身分中心主控台的 [存取控制屬性] 頁面檢視由外部 IdP 設定和傳送的屬性。如果您從外部 IdP 傳遞 SAML 宣告中的存取控制屬性，則這些屬性會直接傳送給使用者聯合 AWS 帳戶 時間。IAM 身分中心無法使用這些屬性進行對應。

啟用存取控制的屬性

使用下列程序，使用 IAM 身分中心主控台啟用存取 (ABAC) 控制功能的屬性。

注意

如果您擁有現有的權限集，並且計劃在 IAM 身分中心執行個體中啟用 ABAC，則額外的安全限制要求您首先擁有該iam:UpdateAssumeRolePolicy政策。如果您的帳戶中沒有建立任何權限集，則不需要這些額外的安全性限制。

啟用存取控制的屬性

1. 開啟 IAM 身分中心主控台。

2. 選擇設定

3. 在 [設定] 頁面上，找出存取控制資訊的屬性] 方塊，然後選擇 [啟用]。繼續執行下一個程序以進行設定。

選取您的屬性

請使用下列程序來設定 ABAC 組態的屬性。

使用 IAM 身分中心主控台選取屬性

1. 開啟 IAM 身分中心主控台。

2. 選擇設定

3. 在 [設定] 頁面上，選擇 [存取控制的屬性] 索引標籤，然後選擇 [管理屬性]。

4. 在 [存取控制屬性] 頁面上，選擇 [新增屬性]，然後輸入 [機碼] 和 [值] 詳細資訊。您可以在這裡將來自身分識別來源的屬性對應至 IAM 身分中心作為工作階段標記傳遞的屬性。

   

   Key 代表您指定給要在策略中使用之屬性的名稱。這可以是任意名稱，但您必須在為存取控制所撰寫的原則中指定該名稱。例如，假設您使用 Okta (外部 IdP) 做為身分識別來源，且需要將組織的成本中心資料作為工作階段標記傳遞。在 Key 中，您可以輸入類似的匹配名稱，CostCenter如您的密鑰名稱。重要的是要注意，無論您在這裡選擇哪個名稱，它也必須在您的aws:PrincipalTag 條件金鑰（即"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"）中命名完全相同。

   注意

   對您的金鑰使用單一值屬性，例如，Manager。IAM 身分中心不支援 ABAC 的多值屬性，例如。Manager, IT Systems

   值代表來自您設定的身分識別來源的屬性內容。您可以在此輸入中所列之適當身分識別來源表格中的任何值AWS Managed Microsoft AD 目錄的屬性對應。例如，使用上述範例中提供的前後關聯，您可${path:enterprise.costCenter}以檢閱受支援的 IdP 屬性清單，並確定支援屬性的最接近相符項目，然後在「值」欄位中輸入該屬性。請參閱上面提供的屏幕截圖以供參考。請注意，除非您使用透過 SAML 判斷提示傳遞屬性的選項，否則您無法在此清單之外使用外部 IdP 屬性值。

5. 選擇儲存變更。

現在您已設定對應存取控制屬性，您必須完成 ABAC 組態程序。若要這麼做，請建立 ABAC 規則，並將其新增至您的權限集和/或以資源為基礎的原則。這是必要的，以便您可以將 AWS 資源的存取權授與使用者身分。如需詳細資訊，請參閱 在 IAM 身分中心建立 ABAC 的許可政策。

停止以屬性進行存取控制

使用下列程序來停用 ABAC 功能，並刪除所有已設定的屬性對應。

若要停用存取控制的屬性

1. 開啟 IAM 身分中心主控台。

2. 選擇設定

3. 在 [設定] 頁面上，選擇 [存取控制的屬性] 索引標籤，然後選擇 [停用]。

4. 在 [停用存取控制屬性] 對話方塊中，檢閱資訊，並在準備好時輸入 DELETE，然後選擇 [確認]。

   重要

   此步驟會刪除所有已配置的屬性。刪除後，將不會傳遞從身份識別來源接收的任何屬性以及您先前配置的任何自訂屬性。