個別資源的 ABAC

IAM Identity Center 使用者和 IAM 角色支援屬性型存取控制 (ABAC)，可讓您根據標籤定義對操作和資源的存取。ABAC 有助於減少更新許可政策的需求，並協助您從公司目錄基礎存取員工屬性。如果您已經使用多帳戶策略，除了角色型存取控制 (RBAC) 之外，還可以使用 ABAC，為在同一帳戶中操作的多個團隊提供對不同資源的精細存取權。例如，IAM Identity Center 使用者或 IAM 角色可以包含限制存取特定 Amazon EC2 執行個體的條件，否則必須明確列出在每個政策中才能存取這些執行個體。

由於 ABAC 授權模型取決於存取操作和資源的標籤，因此請務必提供護欄以防止意外存取。SCPs可用來保護整個組織的標籤，只允許在特定條件下修改標籤。部落格使用 中的服務控制政策和 IAM 實體的許可界限保護用於授權的資源標籤 AWS Organizations，提供如何實作此項目的資訊。 https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

如果長期的 Amazon EC2 執行個體用於支援更傳統的操作實務，則可以使用此方法，部落格為 Amazon EC2 執行個體設定 IAM Identity Center ABAC，Systems Manager Session Manager 會更詳細地討論這種形式的屬性型存取控制。如前所述，並非所有資源類型都支援標記，而且並非所有資源類型都支援使用標籤政策強制執行，因此在 上開始實作此策略之前，最好先評估這一點 AWS 帳戶。

若要了解支援 ABAC 的服務，請參閱AWS 使用 IAM 的服務。