Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle
[Um die attributebasierte Zugriffskontrolle (ABAC) verwenden zu können, müssen Sie sie zunächst entweder auf der **Einstellungsseite** der IAM Identity Center-Konsole oder in der IAM Identity Center-API aktivieren.](https://docs.aws.amazon.com//singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html) Unabhängig von der Identitätsquelle können Sie jederzeit Benutzerattribute aus dem Identity Store für die Verwendung in ABAC konfigurieren. In der Konsole können Sie dies tun, indem Sie auf der Seite **Einstellungen** zur Registerkarte **Attribute für die Zugriffskontrolle** navigieren. Wenn Sie einen externen Identitätsanbieter (IdP) als Identitätsquelle verwenden, haben Sie auch die Möglichkeit, Attribute vom externen IdP in SAML-Assertionen zu empfangen. In diesem Fall müssen Sie den externen IdP so konfigurieren, dass er die gewünschten Attribute sendet. Wenn ein Attribut aus einer SAML-Assertion auch als ABAC-Attribut in IAM Identity Center definiert ist, sendet IAM Identity Center den Wert aus seinem Identity Store als [Sitzungs-Tag](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_session-tags.html) bei der Anmeldung an einen. AWS-Konto
**Anmerkung**
Sie können die von einem externen IdP konfigurierten und gesendeten Attribute nicht auf der Seite **Attribute für die Zugriffskontrolle** in der IAM Identity Center-Konsole anzeigen. Wenn Sie Zugriffskontrollattribute in den SAML-Assertionen von Ihrem externen IdP übergeben, werden diese Attribute direkt an den gesendet, AWS-Konto wenn sich Benutzer zusammenschließen. Die Attribute werden in IAM Identity Center nicht für die Zuordnung verfügbar sein.
**Topics**
+ [Aktivieren Sie Attribute für die Zugriffskontrolle](enable-abac.md)
+ [Wählen Sie Ihre Attribute für die Zugriffskontrolle](configure-abac-attributes.md)
+ [Attribute für die Zugriffskontrolle deaktivieren](disable-abac.md)
# Aktivieren Sie Attribute für die Zugriffskontrolle
Gehen Sie wie folgt vor, um die Funktion zur Steuerung der Attribute für den Zugriff (ABAC) mithilfe der IAM Identity Center-Konsole zu aktivieren.
**Anmerkung**
Wenn Sie bereits über Berechtigungssätze verfügen und ABAC in Ihrer IAM Identity Center-Instance aktivieren möchten, müssen Sie für zusätzliche Sicherheitseinschränkungen zunächst über die Richtlinie verfügen. `iam:UpdateAssumeRolePolicy` Diese zusätzlichen Sicherheitseinschränkungen sind nicht erforderlich, wenn Sie in Ihrem Konto keine Berechtigungssätze erstellt haben.
Wenn Ihre IAM Identity Center-Instanz vor Dezember 2020 erstellt wurde und Sie planen, ABAC darin zu aktivieren, müssen Sie die `iam:UpdateAssumeRolePolicy` Richtlinie mit der IAM Identity Center-Administratorrolle verknüpft haben, unabhängig davon, ob Sie in Ihrem Konto Berechtigungssätze erstellt haben.
**Um Attribute für die Zugriffskontrolle zu aktivieren**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen**
1. Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Attribute für die Zugriffskontrolle** und wählen Sie dann **Aktivieren** aus. Fahren Sie mit dem nächsten Verfahren zur Konfiguration fort.
# Wählen Sie Ihre Attribute für die Zugriffskontrolle
Gehen Sie wie folgt vor, um Attribute für Ihre ABAC-Konfiguration einzurichten.
**Um Ihre Attribute mit der IAM Identity Center-Konsole auszuwählen**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. **Wählen Sie Einstellungen**
1. Wählen Sie auf der Seite **Einstellungen** die Registerkarte **Attribute für die Zugriffskontrolle** und dann **Attribute verwalten** aus.
1. Wählen Sie auf der Seite **„Attribute für die Zugriffskontrolle**“ die Option „**Attribut hinzufügen“** und geben Sie die **Schlüssel** - und **Wertdetails** ein. Hier ordnen Sie das aus Ihrer Identitätsquelle stammende Attribut einem Attribut zu, das IAM Identity Center als Sitzungs-Tag weitergibt.
![\[Details zu den wichtigsten Werten in der IAM Identity Center-Konsole.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/abac_key_value.png)
**Key** steht für den Namen, den Sie dem Attribut zur Verwendung in Richtlinien geben. Dies kann ein beliebiger Name sein, aber Sie müssen diesen genauen Namen in den Richtlinien angeben, die Sie für die Zugriffskontrolle erstellen. Nehmen wir zum Beispiel an, dass Sie Okta (einen externen IdP) als Identitätsquelle verwenden und die Kostenstellendaten Ihrer Organisation als Sitzungs-Tags weitergeben müssen. Im Feld **Schlüssel** würden Sie einen ähnlich passenden Namen **CostCenter**wie Ihren Schlüsselnamen eingeben. Es ist wichtig zu beachten, dass unabhängig davon, welchen Namen Sie hier wählen, er auch in Ihrem Namen `aws:PrincipalTag-Bedingungsschlüssel` (das heißt,`"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`) exakt den gleichen Namen haben muss.
**Anmerkung**
Verwenden Sie ein Attribut mit einem einzigen Wert für Ihren Schlüssel, z. B. **Manager** IAM Identity Center unterstützt keine mehrwertigen Attribute für ABAC, zum Beispiel. **Manager, IT Systems**
Der **Wert** steht für den Inhalt des Attributs, das aus Ihrer konfigurierten Identitätsquelle stammt. Hier können Sie einen beliebigen Wert aus der entsprechenden Identitätsquellentabelle eingeben, die unter aufgeführt ist[Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter](attributemappingsconcept.md). Wenn Sie beispielsweise den Kontext aus dem oben genannten Beispiel verwenden, überprüfen Sie die Liste der unterstützten IdP-Attribute und stellen fest, dass ein unterstütztes Attribut am ehesten übereinstimmt, **`${path:enterprise.costCenter}`**und geben Sie es dann in das Feld **Wert** ein. Sehen Sie sich den obigen Screenshot als Referenz an. Beachten Sie, dass Sie externe IdP-Attributwerte außerhalb dieser Liste für ABAC nicht verwenden können, es sei denn, Sie verwenden die Option, Attribute über die SAML-Assertion zu übergeben.
1. Wählen Sie **Änderungen speichern ** aus.
Nachdem Sie die Zuordnung Ihrer Zugriffskontrollattribute konfiguriert haben, müssen Sie den ABAC-Konfigurationsprozess abschließen. Erstellen Sie dazu Ihre ABAC-Regeln und fügen Sie sie Ihren and/or ressourcenbasierten Richtlinien für Berechtigungssätze hinzu. Dies ist erforderlich, damit Sie Benutzeridentitäten Zugriff auf Ressourcen gewähren können. AWS Weitere Informationen finden Sie unter [Erstellen Sie in IAM Identity Center Berechtigungsrichtlinien für ABAC](configure-abac-policies.md).
# Attribute für die Zugriffskontrolle deaktivieren
Gehen Sie wie folgt vor, um die ABAC-Funktion zu deaktivieren und alle konfigurierten Attributzuordnungen zu löschen.
**Um Attribute für die Zugriffskontrolle zu deaktivieren**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite **Einstellungen** die Registerkarte **Attribute für die Zugriffskontrolle** und dann **Attribute verwalten** aus.
1. Wählen Sie auf der Seite **„Attribute für die Zugriffskontrolle verwalten**“ die Option **Deaktivieren** aus.
1. Überprüfen **Sie im Dialogfeld „Attribute für die Zugriffskontrolle deaktivieren**“ die Informationen, geben Sie sie ein**DISABLE**, und wählen Sie dann **Bestätigen**.
**Wichtig**
Dieser Schritt löscht alle Attribute und beendet die Verwendung von Attributen für die Zugriffskontrolle beim Zusammenschluss, AWS-Konten unabhängig davon, ob Attribute in SAML-Assertionen eines externen Identitätsquellenanbieters vorhanden sind.