View a markdown version of this page

Crear políticas de permisos para ABAC en IAM Identity Center - AWS IAM Identity Center
Clave de condición de aws:PrincipalTag

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear políticas de permisos para ABAC en IAM Identity Center

Puede crear políticas de permisos que determinen quién puede acceder a sus recursos de AWS en característica de los valores de atributos configurados. Cuando habilita ABAC y especifica atributos, IAM Identity Center transfiere los valores de atributo del usuario autenticado a IAM para utilizarlos en la evaluación de políticas.

Clave de condición de aws:PrincipalTag

Puede utilizar los atributos de control de acceso en sus conjuntos de permisos mediante la clave de condición aws:PrincipalTag para crear reglas de control de acceso. Por ejemplo, en la siguiente política, puede etiquetar todos los recursos de su organización con sus respectivos centros de costos. También puede utilizar un único conjunto de permisos que conceda a los desarrolladores acceso a los recursos de sus centros de costos. Ahora, cuando los desarrolladores se federan en la cuenta mediante el inicio de sesión único y su atributo de centro de costos, solo tienen acceso a los recursos de sus respectivos centros. A medida que el equipo vaya añadiendo más desarrolladores y recursos a su proyecto, solo tendrás que etiquetar los recursos con el centro de costos correcto. A continuación, se pasa la información del centro de costes en la AWS sesión cuando los desarrolladores se federan en ellos. Cuentas de AWS Por tanto, a medida que la organización agrega nuevos recursos y desarrolladores al centro de costos, los desarrolladores pueden administrar los recursos alineados con sus centros sin necesidad de actualizar los permisos.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Cuando los usuarios se federan en un centro de identidad de IAM o Cuenta de AWS a través de él, los atributos de control de acceso configurados se transmiten como etiquetas de sesión. Puede hacer referencia a estas etiquetas de sesión en sus políticas mediante la clave de aws:PrincipalTag/tag-key condición. Esta clave de condición se admite en todos los tipos de políticas de AWS IAM relevantes, donde puede usar condiciones, incluidas las políticas basadas en la identidad, las políticas basadas en los recursos, los límites de los permisos, las políticas de control de servicios () y las políticas de puntos finales de SCPs VPC. Esto le permite tomar decisiones de control de acceso detalladas en función de los atributos de los usuarios en todo su entorno. AWS

Para obtener más información, consulte aws:PrincipalTag y EC2: Iniciar o detener instancias en característica de las etiquetas principales y de recursos coincidentes en la Guía del usuario de IAM.

Si las políticas contienen atributos no válidos en sus condiciones, la condición de la política fallará y se denegará el acceso. Para obtener más información, consulte Error: “Se ha producido un error inesperado” cuando un usuario intenta iniciar sesión con un proveedor de identidad externo.