

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Atributos para controlar el acceso
<a name="attributesforaccesscontrol"></a>

**Atributos para el control de acceso** es el nombre de la página de la consola de IAM Identity Center en la que se seleccionan los atributos de usuario que se quieren utilizar en las políticas para controlar el acceso a los recursos. Puedes asignar usuarios a las cargas de trabajo en AWS función de los atributos existentes en la fuente de identidad de los usuarios.

Por ejemplo, suponga que desea asignar acceso a los buckets de S3 en característica de los nombres de los departamentos. En la página **Atributos para el control de acceso**, seleccione el atributo de usuario **Departamento** para su uso con el control de acceso basado en atributos (ABAC). En el conjunto de permisos de IAM Identity Center, escriba una política que conceda acceso a los usuarios solo cuando el atributo **Departmento** coincida con la etiqueta de departamento que asignó a sus buckets de S3. IAM Identity Center transfiere el atributo de departamento del usuario a la cuenta a la que se accede. A continuación, el atributo se utiliza para determinar el acceso en característica de la política. Para obtener más información acerca de PITR, consulte [Control de acceso basado en atributos](abac.md). 

## Introducción
<a name="abac-getting-started"></a>

La forma de empezar a configurar los atributos para el control de acceso depende del origen de identidad que utilice. Independientemente del origen de identidad que elija, una vez seleccionados los atributos, tendrá que crear o editar las políticas de conjuntos de permisos. Estas políticas deben permitir que las identidades de los usuarios accedan a los recursos de AWS . 

### Elección de los atributos al utilizar IAM Identity Center como fuente de identidad
<a name="abac-getting-started-sso"></a>

Al configurar IAM Identity Center como fuente de identidad, primero se añaden los usuarios y se configuran sus atributos. A continuación, vaya a la página **Atributos para el control de acceso** y seleccione los atributos que desee utilizar en las políticas. Por último, navegue hasta la página **Cuentas de AWS** para crear o editar conjuntos de permisos para usar los atributos de ABAC.

### Elegir los atributos al utilizarlos AWS Managed Microsoft AD como fuente de identidad
<a name="abac-getting-started-ms-ad"></a>

Al configurar el Centro de Identidad de IAM AWS Managed Microsoft AD como fuente de identidad, primero se asigna un conjunto de atributos de Active Directory a los atributos de usuario del Centro de Identidad de IAM. A continuación, vaya a la página de **atributos para el control de acceso**. A continuación, elija los atributos que desee utilizar en la configuración de ABAC en característica del conjunto existente de atributos de SSO mapeados desde Active Directory. Por último, cree reglas de ABAC utilizando los atributos de control de acceso de los conjuntos de permisos para permitir que las identidades de los usuarios accedan a los recursos de AWS . Para obtener una lista de las asignaciones predeterminadas de los atributos de usuario del Centro de identidades de IAM a los atributos de usuario de su directorio, consulte. AWS Managed Microsoft AD [Asignaciones predeterminadas entre IAM Identity Center y Microsoft AD](attributemappingsconcept.md#defaultattributemappings)

### Elección de los atributos al utilizar un proveedor de identidades externo como fuente de identidad
<a name="abac-getting-started-idp"></a>

Al configurar IAM Identity Center con un proveedor de identidades (IdP) externo como origen de identidad, hay 2 formas de utilizar los atributos de ABAC.
+ Puede configurar su IdP para que envíe los atributos mediante aserciones de SAML. En este caso, IAM Identity Center transfiere el nombre y el valor del atributo desde el IdP para la evaluación de la política.
**nota**  
Los atributos de las aserciones de SAML no estarán visibles en la página **Atributos para el control de acceso**. Deberá conocer estos atributos con antelación y añadirlos a las reglas de control de acceso al crear políticas. Si decide confiar en los atributos externos IdPs , estos atributos siempre se transferirán cuando los usuarios se federen en ellos. Cuentas de AWS En situaciones en las que los mismos atributos llegan a IAM Identity Center a través de SAML y SCIM, el valor de los atributos de SAML prevalece en las decisiones de control de acceso.
+ Puede configurar los atributos que utilizará en la página **Atributos para el control de acceso** de la consola de IAM Identity Center. Los valores de atributos que elija aquí sustituyen a los valores de cualquier atributo coincidente que provenga de un IdP a través de una afirmación. Dependiendo de si utiliza o no SCIM, tenga en cuenta lo siguiente:
  + Si utiliza SCIM, el IdP sincroniza automáticamente los valores de los atributos en IAM Identity Center. Es posible que los atributos adicionales necesarios para el control de acceso no estén presentes en la lista de atributos del SCIM. En ese caso, considere la posibilidad de colaborar con el administrador de TI de su IdP para enviar dichos atributos a IAM Identity Center mediante aserciones de SAML con el prefijo requerido `https://aws.amazon.com/SAML/Attributes/AccessControl:`. Para obtener información sobre cómo configurar los atributos de usuario para el control de acceso en su IdP para enviarlos mediante aserciones de SAML, consulte el [Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md) de su IdP.
  + Si no utiliza SCIM, debe añadir los usuarios manualmente y establecer sus atributos como si utilizara IAM Identity Center como origen de identidad. A continuación, vaya a la página **Atributos para el control de acceso** y seleccione los atributos que desee utilizar en las políticas. 

Para obtener una lista completa de los atributos de usuario compatibles entre los atributos de usuario del Centro de Identidad de IAM y los atributos de usuario del externo IdPs, consulte. [Atributos de proveedores de identidad externos compatibles](attributemappingsconcept.md#supportedidpattributes)

Para comenzar a utilizar ABAC en IAM Identity Center, consulte los temas siguientes.

**Topics**
+ [Introducción](#abac-getting-started)
+ [Habilitación y configuración de atributos para el control de acceso](configure-abac.md)
+ [Crear políticas de permisos para ABAC en IAM Identity Center](configure-abac-policies.md)

# Habilitación y configuración de atributos para el control de acceso
<a name="configure-abac"></a>

Para utilizar el control de acceso basado en atributos (ABAC), primero debe habilitarlo en la página **Configuración** de la consola de IAM Identity Center o en la [API de IAM Identity Center.](https://docs.aws.amazon.com//singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html) Independientemente de la fuente de identidad, siempre puede configurar los atributos de usuario desde el almacén de identidades para usarlos en ABAC. En la consola, puede hacerlo accediendo a la pestaña **Atributos para el control de acceso de** la página de **configuración**. Si utiliza un proveedor de identidades (IdP) externo como origen de identidades, también tiene la opción de recibir atributos del IdP externo en las aserciones SAML. En este caso, debe configurar el IdP externo para enviar los atributos deseados. Si un atributo de una afirmación de SAML también se define como atributo ABAC en IAM Identity Center, IAM Identity Center enviará el valor desde su almacén de identidades como etiqueta de sesión al iniciar [sesión](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_session-tags.html) en una Cuenta de AWS.

**nota**  
No puede ver los atributos configurados y enviados por un IdP externo desde la página **Atributos para el control de acceso** de la consola de IAM Identity Center. Si transfiere atributos de control de acceso en las aserciones de SAML desde su IdP externo, esos atributos se envían directamente a la Cuenta de AWS cuando los usuarios se federan. Los atributos no estarán disponibles en IAM Identity Center para su mapeo.

**Topics**
+ [Activar atributos para el control de acceso](enable-abac.md)
+ [Seleccione sus atributos para controlar el acceso](configure-abac-attributes.md)
+ [Desactivar atributos para el control de acceso](disable-abac.md)

# Activar atributos para el control de acceso
<a name="enable-abac"></a>

Utilice el siguiente procedimiento para activar la característica de control de los atributos de acceso (ABAC) mediante la consola de IAM Identity Center.

**nota**  
Si ya tiene conjuntos de permisos y planea habilitar ABAC en su instancia de IAM Identity Center, las restricciones de seguridad adicionales requieren que primero tenga la política `iam:UpdateAssumeRolePolicy`. Estas restricciones de seguridad adicionales no son obligatorias si no ha creado ningún conjunto de permisos en su cuenta.  
Si su instancia del Centro de Identidad de IAM se creó antes de diciembre de 2020 y planea habilitar ABAC en ella, debe tener la `iam:UpdateAssumeRolePolicy` política asociada a la función administrativa del Centro de Identidad de IAM, independientemente de si ha creado conjuntos de permisos en su cuenta.

**Cómo activar atributos para el control de acceso**

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuración**.

1. En la página de **configuración**, busque el cuadro de información **Atributos para el control de acceso** y, a continuación, elija **Activar**. Continúe con el siguiente procedimiento para configurarlo.

# Seleccione sus atributos para controlar el acceso
<a name="configure-abac-attributes"></a>

Utilice el siguiente procedimiento para configurar atributos para la configuración de ABAC. 

**Selección de los atributos mediante la consola de IAM Identity Center**

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuración**.

1. En la página de **configuración**, seleccione la pestaña **Atributos para el control de acceso** y, a continuación, elija **Administrar atributos**.

1. En la página **Atributos para el control de acceso**, seleccione **Agregar atributo** e introduzca los detalles de **Clave** y **Valor**. Aquí es donde mapeará el atributo que proviene de su fuente de identidad a un atributo que IAM Identity Center pasa como etiqueta de sesión.  
![\[Detalles de valores clave en la consola de IAM Identity Center.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/abac_key_value.png)

   La **clave** representa el nombre que se le da al atributo para su uso en las políticas. Puede ser cualquier nombre arbitrario, pero debe especificar ese nombre exacto en las políticas que cree para el control de acceso. Por ejemplo, supongamos que utiliza Okta (un IdP externo) como fuente de identidad y necesita transferir los datos del centro de costos de su organización como etiquetas de sesión. En **Key**, debe introducir un nombre que coincida de forma similar, **CostCenter**como su nombre de clave. Es importante tener en cuenta que, sea cual sea el nombre que elija aquí, también debe tener el mismo nombre en su `Clave de condición de aws:PrincipalTag` (es decir, `"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`).
**nota**  
Use un atributo de un solo valor para su clave (por ejemplo, **Manager**). Por ejemplo, IAM Identity Center no admite atributos con varios valores para ABAC (por ejemplo, **Manager, IT Systems**).

   El **valor** representa el contenido del atributo que proviene del origen de la identidad configurada. Aquí puede introducir cualquier valor de la tabla de fuentes de identidad correspondiente que aparece en [Asignaciones de los atributos entre IAM Identity Center y el directorio de proveedores de identidad externos](attributemappingsconcept.md). Por ejemplo, utilizando el contexto proporcionado en el ejemplo mencionado anteriormente, revisaría la lista de atributos de IdP admitidos y determinaría que la coincidencia más cercana con un atributo compatible sería **`${path:enterprise.costCenter}`** y, a continuación, lo introduciría en el campo **Valor**. Consulta la captura de pantalla proporcionada arriba como referencia. Tenga en cuenta que no puede usar valores de atributos de IdP externos fuera de esta lista para ABAC a menos que utilice la opción de pasar los atributos a través de la aserción SAML.

1. Seleccione **Save changes (Guardar cambios)**.

Ahora que ha configurado el mapeo de sus atributos de control de acceso, debe completar el proceso de configuración de ABAC. Para ello, cree sus reglas ABAC y agréguelas a sus conjuntos de permisos (políticas and/or basadas en recursos). Esto es necesario para poder conceder a las identidades de los usuarios el acceso a los recursos de AWS . Para obtener más información, consulte [Crear políticas de permisos para ABAC en IAM Identity Center](configure-abac-policies.md).

# Desactivar atributos para el control de acceso
<a name="disable-abac"></a>

Utilice el siguiente procedimiento para deshabilitar la característica ABAC y eliminar todas las asignaciones de atributos que se hayan configurado. 

**A fin de desactivar atributos para el control de acceso, siga estos pasos:**

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuración**.

1. En la página de **configuración**, seleccione la pestaña **Atributos para el control de acceso** y, a continuación, elija **Administrar atributos**.

1. **En la página **Administrar atributos para el control de acceso**, seleccione Deshabilitar**.

1. En el cuadro de diálogo **Desactivar atributos para el control de acceso**, revise la información y, cuando esté listo, escriba **DISABLE** y, a continuación, elija **Confirmar**.
**importante**  
Este paso elimina todos los atributos y detiene el uso de los atributos para el control de acceso al federarse en Cuentas de AWS independientemente de si hay algún atributo en las aserciones de SAML de un proveedor de fuentes de identidad externo.

# Crear políticas de permisos para ABAC en IAM Identity Center
<a name="configure-abac-policies"></a>

Puede crear políticas de permisos que determinen quién puede acceder a sus recursos de AWS en característica de los valores de atributos configurados. Cuando habilita ABAC y especifica atributos, IAM Identity Center transfiere los valores de atributo del usuario autenticado a IAM para utilizarlos en la evaluación de políticas.

## Clave de condición de aws:PrincipalTag
<a name="abac-principaltag"></a>

Puede utilizar los atributos de control de acceso en sus conjuntos de permisos mediante la clave de condición `aws:PrincipalTag` para crear reglas de control de acceso. Por ejemplo, en la siguiente política, puede etiquetar todos los recursos de su organización con sus respectivos centros de costos. También puede utilizar un único conjunto de permisos que conceda a los desarrolladores acceso a los recursos de sus centros de costos. Ahora, cuando los desarrolladores se federan en la cuenta mediante el inicio de sesión único y su atributo de centro de costos, solo tienen acceso a los recursos de sus respectivos centros. A medida que el equipo vaya añadiendo más desarrolladores y recursos a su proyecto, solo tendrás que etiquetar los recursos con el centro de costos correcto. A continuación, se pasa la información del centro de costes en la AWS sesión cuando los desarrolladores se federan en ellos. Cuentas de AWS Por tanto, a medida que la organización agrega nuevos recursos y desarrolladores al centro de costos, los desarrolladores pueden administrar los recursos alineados con sus centros sin necesidad de actualizar los permisos.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}
```

------

Para obtener más información, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) y [EC2: Iniciar o detener instancias en característica de las etiquetas principales y de recursos coincidentes](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2-start-stop-match-tags.html) en la Guía del *usuario de IAM*.

Si las políticas contienen atributos no válidos en sus condiciones, la condición de la política fallará y se denegará el acceso. Para obtener más información, consulte [Error: “Se ha producido un error inesperado” cuando un usuario intenta iniciar sesión con un proveedor de identidad externo](troubleshooting.md#issue8).