Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Attribute für Zugriffskontrolle
<a name="attributesforaccesscontrol"></a>

**Attribute für die Zugriffskontrolle** ist der Name der Seite in der IAM Identity Center-Konsole, auf der Sie Benutzerattribute auswählen, die Sie in Richtlinien zur Steuerung des Zugriffs auf Ressourcen verwenden möchten. Sie können Benutzer Workloads auf der AWS Grundlage vorhandener Attribute in der Identitätsquelle der Benutzer zuweisen.

Nehmen wir beispielsweise an, Sie möchten den Zugriff auf S3-Buckets anhand von Abteilungsnamen zuweisen. Auf der Seite „**Attribute für die Zugriffskontrolle**“ wählen Sie das Benutzerattribut „**Abteilung**“ für die Verwendung mit der attributebasierten Zugriffskontrolle (ABAC) aus. Im IAM Identity Center-Berechtigungssatz schreiben Sie dann eine Richtlinie, die Benutzern nur dann Zugriff gewährt, wenn das **Abteilungsattribut mit dem Abteilungs-Tag** übereinstimmt, das Sie Ihren S3-Buckets zugewiesen haben. IAM Identity Center übergibt das Abteilungsattribut des Benutzers an das Konto, auf das zugegriffen wird. Das Attribut wird dann verwendet, um den Zugriff auf der Grundlage der Richtlinie zu bestimmen. Weitere Informationen zu ABAC finden Sie unter[Attributbasierte Zugriffskontrolle](abac.md). 

## Erste Schritte
<a name="abac-getting-started"></a>

Wie Sie mit der Konfiguration von Attributen für die Zugriffskontrolle beginnen, hängt davon ab, welche Identitätsquelle Sie verwenden. Unabhängig von der ausgewählten Identitätsquelle müssen Sie, nachdem Sie Ihre Attribute ausgewählt haben, Richtlinien für Berechtigungssätze erstellen oder bearbeiten. Diese Richtlinien müssen Benutzeridentitäten Zugriff auf AWS Ressourcen gewähren. 

### Auswahl von Attributen, wenn Sie IAM Identity Center als Identitätsquelle verwenden
<a name="abac-getting-started-sso"></a>

Wenn Sie IAM Identity Center als Identitätsquelle konfigurieren, fügen Sie zunächst Benutzer hinzu und konfigurieren deren Attribute. Navigieren Sie anschließend zur Seite „**Attribute für die Zugriffskontrolle**“ und wählen Sie die Attribute aus, die Sie in Richtlinien verwenden möchten. Navigieren Sie abschließend zu der **AWS-Konten**Seite, auf der Sie Berechtigungssätze für die Verwendung der Attribute für ABAC erstellen oder bearbeiten können.

### Auswahl von Attributen bei Verwendung AWS Managed Microsoft AD als Identitätsquelle
<a name="abac-getting-started-ms-ad"></a>

Wenn Sie IAM Identity Center AWS Managed Microsoft AD als Identitätsquelle konfigurieren, ordnen Sie zunächst eine Reihe von Attributen aus Active Directory den Benutzerattributen in IAM Identity Center zu. Navigieren Sie als Nächstes zur Seite „**Attribute für die Zugriffskontrolle**“. Wählen Sie dann auf der Grundlage des vorhandenen Satzes von SSO-Attributen, die aus Active Directory zugeordnet wurden, aus, welche Attribute in Ihrer ABAC-Konfiguration verwendet werden sollen. Verfassen Sie abschließend ABAC-Regeln mithilfe der Zugriffskontrollattribute in Berechtigungssätzen, um Benutzeridentitäten Zugriff auf Ressourcen zu gewähren. AWS Eine Liste der Standardzuordnungen von Benutzerattributen in IAM Identity Center zu den Benutzerattributen in Ihrem Verzeichnis finden Sie unter. AWS Managed Microsoft AD [Standardzuordnungen zwischen IAM Identity Center und Microsoft AD](attributemappingsconcept.md#defaultattributemappings)

### Auswahl von Attributen, wenn Sie einen externen Identitätsanbieter als Identitätsquelle verwenden
<a name="abac-getting-started-idp"></a>

Wenn Sie IAM Identity Center mit einem externen Identitätsanbieter (IdP) als Identitätsquelle konfigurieren, gibt es zwei Möglichkeiten, Attribute für ABAC zu verwenden.
+ Sie können Ihren IdP so konfigurieren, dass er die Attribute über SAML-Assertionen sendet. In diesem Fall leitet IAM Identity Center den Attributnamen und den Wert vom IdP zur Richtlinienbewertung weiter.
**Anmerkung**  
Attribute in SAML-Assertionen sind für Sie auf der Seite „**Attribute für** die Zugriffskontrolle“ nicht sichtbar. Sie müssen diese Attribute im Voraus kennen und sie zu den Zugriffskontrollregeln hinzufügen, wenn Sie Richtlinien erstellen. Wenn Sie sich dafür entscheiden, Ihren externen IdPs Attributen zu vertrauen, werden diese Attribute immer weitergegeben, wenn sich Benutzer AWS-Konten zusammenschließen. In Szenarien, in denen dieselben Attribute über SAML und SCIM in das IAM Identity Center übertragen werden, hat der Wert der SCIM-Attribute bei Entscheidungen zur Zugriffskontrolle Vorrang.
+ Sie können auf der Seite Attribute **für die Zugriffskontrolle in der IAM Identity Center-Konsole konfigurieren, welche Attribute** Sie verwenden. Die Attributwerte, die Sie hier auswählen, ersetzen die Werte für alle passenden Attribute, die über eine Assertion von einem IdP stammen. Je nachdem, ob Sie SCIM verwenden, sollten Sie Folgendes beachten:
  + Bei Verwendung von SCIM synchronisiert der IdP die Attributwerte automatisch mit dem IAM Identity Center. Zusätzliche Attribute, die für die Zugriffskontrolle erforderlich sind, sind möglicherweise nicht in der Liste der SCIM-Attribute enthalten. In diesem Fall sollten Sie in Erwägung ziehen, mit dem IT-Administrator in Ihrem IdP zusammenzuarbeiten, um solche Attribute über SAML-Assertionen mit dem erforderlichen Präfix an das IAM Identity Center zu senden. `https://aws.amazon.com/SAML/Attributes/AccessControl:` Informationen zur Konfiguration von Benutzerattributen für die Zugriffskontrolle in Ihrem IdP zum Senden über SAML-Assertionen finden Sie unter [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md) Für Ihren IdP.
  + Wenn Sie SCIM nicht verwenden, müssen Sie die Benutzer manuell hinzufügen und ihre Attribute so festlegen, als ob Sie IAM Identity Center als Identitätsquelle verwenden würden. Navigieren Sie als Nächstes zur Seite „**Attribute für die Zugriffskontrolle**“ und wählen Sie die Attribute aus, die Sie in Richtlinien verwenden möchten. 

Eine vollständige Liste der unterstützten Attribute für Benutzerattribute in IAM Identity Center für die Benutzerattribute in Ihrem externen IdPs System finden Sie unter[Unterstützte externe Identitätsanbieter-Attribute](attributemappingsconcept.md#supportedidpattributes).

Informationen zu den ersten Schritten mit ABAC in IAM Identity Center finden Sie in den folgenden Themen.

**Topics**
+ [Erste Schritte](#abac-getting-started)
+ [Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle](configure-abac.md)
+ [Erstellen Sie in IAM Identity Center Berechtigungsrichtlinien für ABAC](configure-abac-policies.md)

# Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle
<a name="configure-abac"></a>

[Um die attributebasierte Zugriffskontrolle (ABAC) verwenden zu können, müssen Sie sie zunächst entweder auf der **Einstellungsseite** der IAM Identity Center-Konsole oder in der IAM Identity Center-API aktivieren.](https://docs.aws.amazon.com//singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html) Unabhängig von der Identitätsquelle können Sie jederzeit Benutzerattribute aus dem Identity Store für die Verwendung in ABAC konfigurieren. In der Konsole können Sie dies tun, indem Sie auf der Seite **Einstellungen** zur Registerkarte **Attribute für die Zugriffskontrolle** navigieren. Wenn Sie einen externen Identitätsanbieter (IdP) als Identitätsquelle verwenden, haben Sie auch die Möglichkeit, Attribute vom externen IdP in SAML-Assertionen zu empfangen. In diesem Fall müssen Sie den externen IdP so konfigurieren, dass er die gewünschten Attribute sendet. Wenn ein Attribut aus einer SAML-Assertion auch als ABAC-Attribut in IAM Identity Center definiert ist, sendet IAM Identity Center den Wert aus seinem Identity Store als [Sitzungs-Tag](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_session-tags.html) bei der Anmeldung an einen. AWS-Konto

**Anmerkung**  
Sie können die von einem externen IdP konfigurierten und gesendeten Attribute nicht auf der Seite **Attribute für die Zugriffskontrolle** in der IAM Identity Center-Konsole anzeigen. Wenn Sie Zugriffskontrollattribute in den SAML-Assertionen von Ihrem externen IdP übergeben, werden diese Attribute direkt an den gesendet, AWS-Konto wenn sich Benutzer zusammenschließen. Die Attribute werden in IAM Identity Center nicht für die Zuordnung verfügbar sein.

**Topics**
+ [Aktivieren Sie Attribute für die Zugriffskontrolle](enable-abac.md)
+ [Wählen Sie Ihre Attribute für die Zugriffskontrolle](configure-abac-attributes.md)
+ [Attribute für die Zugriffskontrolle deaktivieren](disable-abac.md)

# Aktivieren Sie Attribute für die Zugriffskontrolle
<a name="enable-abac"></a>

Gehen Sie wie folgt vor, um die Funktion zur Steuerung der Attribute für den Zugriff (ABAC) mithilfe der IAM Identity Center-Konsole zu aktivieren.

**Anmerkung**  
Wenn Sie bereits über Berechtigungssätze verfügen und ABAC in Ihrer IAM Identity Center-Instance aktivieren möchten, müssen Sie für zusätzliche Sicherheitseinschränkungen zunächst über die Richtlinie verfügen. `iam:UpdateAssumeRolePolicy` Diese zusätzlichen Sicherheitseinschränkungen sind nicht erforderlich, wenn Sie in Ihrem Konto keine Berechtigungssätze erstellt haben.  
Wenn Ihre IAM Identity Center-Instanz vor Dezember 2020 erstellt wurde und Sie planen, ABAC darin zu aktivieren, müssen Sie die `iam:UpdateAssumeRolePolicy` Richtlinie mit der IAM Identity Center-Administratorrolle verknüpft haben, unabhängig davon, ob Sie in Ihrem Konto Berechtigungssätze erstellt haben.

**Um Attribute für die Zugriffskontrolle zu aktivieren**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen**

1. Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Attribute für die Zugriffskontrolle** und wählen Sie dann **Aktivieren** aus. Fahren Sie mit dem nächsten Verfahren zur Konfiguration fort.

# Wählen Sie Ihre Attribute für die Zugriffskontrolle
<a name="configure-abac-attributes"></a>

Gehen Sie wie folgt vor, um Attribute für Ihre ABAC-Konfiguration einzurichten. 

**Um Ihre Attribute mit der IAM Identity Center-Konsole auszuwählen**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. **Wählen Sie Einstellungen**

1. Wählen Sie auf der Seite **Einstellungen** die Registerkarte **Attribute für die Zugriffskontrolle** und dann **Attribute verwalten** aus.

1. Wählen Sie auf der Seite **„Attribute für die Zugriffskontrolle**“ die Option „**Attribut hinzufügen“** und geben Sie die **Schlüssel** - und **Wertdetails** ein. Hier ordnen Sie das aus Ihrer Identitätsquelle stammende Attribut einem Attribut zu, das IAM Identity Center als Sitzungs-Tag weitergibt.  
![\[Details zu den wichtigsten Werten in der IAM Identity Center-Konsole.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/abac_key_value.png)

   **Key** steht für den Namen, den Sie dem Attribut zur Verwendung in Richtlinien geben. Dies kann ein beliebiger Name sein, aber Sie müssen diesen genauen Namen in den Richtlinien angeben, die Sie für die Zugriffskontrolle erstellen. Nehmen wir zum Beispiel an, dass Sie Okta (einen externen IdP) als Identitätsquelle verwenden und die Kostenstellendaten Ihrer Organisation als Sitzungs-Tags weitergeben müssen. Im Feld **Schlüssel** würden Sie einen ähnlich passenden Namen **CostCenter**wie Ihren Schlüsselnamen eingeben. Es ist wichtig zu beachten, dass unabhängig davon, welchen Namen Sie hier wählen, er auch in Ihrem Namen `aws:PrincipalTag-Bedingungsschlüssel` (das heißt,`"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`) exakt den gleichen Namen haben muss.
**Anmerkung**  
Verwenden Sie ein Attribut mit einem einzigen Wert für Ihren Schlüssel, z. B. **Manager** IAM Identity Center unterstützt keine mehrwertigen Attribute für ABAC, zum Beispiel. **Manager, IT Systems**

   Der **Wert** steht für den Inhalt des Attributs, das aus Ihrer konfigurierten Identitätsquelle stammt. Hier können Sie einen beliebigen Wert aus der entsprechenden Identitätsquellentabelle eingeben, die unter aufgeführt ist[Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter](attributemappingsconcept.md). Wenn Sie beispielsweise den Kontext aus dem oben genannten Beispiel verwenden, überprüfen Sie die Liste der unterstützten IdP-Attribute und stellen fest, dass ein unterstütztes Attribut am ehesten übereinstimmt, **`${path:enterprise.costCenter}`**und geben Sie es dann in das Feld **Wert** ein. Sehen Sie sich den obigen Screenshot als Referenz an. Beachten Sie, dass Sie externe IdP-Attributwerte außerhalb dieser Liste für ABAC nicht verwenden können, es sei denn, Sie verwenden die Option, Attribute über die SAML-Assertion zu übergeben.

1. Wählen Sie **Änderungen speichern ** aus.

Nachdem Sie die Zuordnung Ihrer Zugriffskontrollattribute konfiguriert haben, müssen Sie den ABAC-Konfigurationsprozess abschließen. Erstellen Sie dazu Ihre ABAC-Regeln und fügen Sie sie Ihren and/or ressourcenbasierten Richtlinien für Berechtigungssätze hinzu. Dies ist erforderlich, damit Sie Benutzeridentitäten Zugriff auf Ressourcen gewähren können. AWS Weitere Informationen finden Sie unter [Erstellen Sie in IAM Identity Center Berechtigungsrichtlinien für ABAC](configure-abac-policies.md).

# Attribute für die Zugriffskontrolle deaktivieren
<a name="disable-abac"></a>

Gehen Sie wie folgt vor, um die ABAC-Funktion zu deaktivieren und alle konfigurierten Attributzuordnungen zu löschen. 

**Um Attribute für die Zugriffskontrolle zu deaktivieren**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie **Einstellungen** aus.

1. Wählen Sie auf der Seite **Einstellungen** die Registerkarte **Attribute für die Zugriffskontrolle** und dann **Attribute verwalten** aus.

1. Wählen Sie auf der Seite **„Attribute für die Zugriffskontrolle verwalten**“ die Option **Deaktivieren** aus.

1. Überprüfen **Sie im Dialogfeld „Attribute für die Zugriffskontrolle deaktivieren**“ die Informationen, geben Sie sie ein**DISABLE**, und wählen Sie dann **Bestätigen**.
**Wichtig**  
Dieser Schritt löscht alle Attribute und beendet die Verwendung von Attributen für die Zugriffskontrolle beim Zusammenschluss, AWS-Konten unabhängig davon, ob Attribute in SAML-Assertionen eines externen Identitätsquellenanbieters vorhanden sind.

# Erstellen Sie in IAM Identity Center Berechtigungsrichtlinien für ABAC
<a name="configure-abac-policies"></a>

Sie können Berechtigungsrichtlinien erstellen, die anhand des konfigurierten Attributwerts festlegen, wer auf Ihre AWS Ressourcen zugreifen kann. Wenn Sie ABAC aktivieren und Attribute angeben, leitet IAM Identity Center den Attributwert des authentifizierten Benutzers zur Verwendung bei der Richtlinienbewertung an IAM weiter.

## aws:PrincipalTag-Bedingungsschlüssel
<a name="abac-principaltag"></a>

Mithilfe des Bedingungsschlüssels können Sie Zugriffskontrollattribute in Ihren Berechtigungssätzen verwenden, um `aws:PrincipalTag` Zugriffskontrollregeln zu erstellen. In der folgenden Richtlinie können Sie beispielsweise alle Ressourcen in Ihrer Organisation mit ihren jeweiligen Kostenstellen kennzeichnen. Sie können auch einen einzigen Berechtigungssatz verwenden, der Entwicklern Zugriff auf ihre Kostenstellenressourcen gewährt. Wenn Entwickler sich nun mithilfe von Single Sign-On und ihrem Kostenstellenattribut mit dem Konto verbinden, erhalten sie nur Zugriff auf die Ressourcen in ihren jeweiligen Kostenstellen. Wenn das Team mehr Entwickler und Ressourcen zu seinem Projekt hinzufügt, müssen Sie nur Ressourcen mit der richtigen Kostenstelle taggen. Anschließend geben Sie Informationen zur Kostenstelle in der AWS Sitzung weiter, in der sich die Entwickler AWS-Konten zusammenschließen. Wenn das Unternehmen der Kostenstelle neue Ressourcen und Entwickler hinzufügt, können Entwickler Ressourcen entsprechend ihren Kostenstellen verwalten, ohne dass Genehmigungen aktualisiert werden müssen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}
```

------

Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag)und [EC2: Starten oder Stoppen von Instances auf der Grundlage übereinstimmender Principal- und Ressourcen-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2-start-stop-match-tags.html) im *IAM-Benutzerhandbuch*.

Wenn Richtlinien ungültige Attribute in ihren Bedingungen enthalten, schlägt die Richtlinienbedingung fehl und der Zugriff wird verweigert. Weitere Informationen finden Sie unter [Fehler „Ein unerwarteter Fehler ist aufgetreten“, wenn ein Benutzer versucht, sich mit einem externen Identitätsanbieter anzumelden](troubleshooting.md#issue8).