Liste de contrôle : Configuration d'ABAC à AWS l'aide d'IAM Identity Center - AWS IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Liste de contrôle : Configuration d'ABAC à AWS l'aide d'IAM Identity Center

Cette liste de contrôle inclut les tâches de configuration nécessaires pour préparer vos AWS ressources et configurer IAM Identity Center pour l'accès ABAC. Effectuez les tâches de cette liste de contrôle dans l'ordre. Lorsqu'un lien de référence vous amène à un sujet, revenez à ce sujet afin de pouvoir effectuer les tâches restantes de cette liste de contrôle.

Étape Tâche Référence
1 Découvrez comment ajouter des balises à toutes vos AWS ressources. Pour implémenter ABAC dans IAM Identity Center, vous devez d'abord ajouter des balises à toutes les AWS ressources pour lesquelles vous souhaitez implémenter ABAC.
2 Découvrez comment configurer votre source d'identité dans IAM Identity Center avec les identités utilisateur et les attributs associés dans votre magasin d'identités. IAM Identity Center vous permet d'utiliser les attributs utilisateur de n'importe quelle source d'identité IAM Identity Center prise en charge pour ABAC in. AWS
3 Sur la base des critères suivants, déterminez les attributs que vous souhaitez utiliser pour prendre des décisions en matière de contrôle d'accès AWS et envoyez-les à IAM Identity Center.

  • Si vous utilisez un fournisseur d'identité (IdP) externe, décidez si vous souhaitez utiliser les attributs transmis par l'IdP ou sélectionner des attributs depuis IAM Identity Center.

  • Si vous choisissez que votre IdP envoie des attributs, configurez votre IdP pour transmettre les attributs dans des assertions SAML. Consultez les Optional sections du didacticiel correspondant à votre IdP spécifique.

  • Si vous utilisez un IdP comme source d'identité et que vous choisissez de sélectionner des attributs dans IAM Identity Center, étudiez comment configurer le SCIM afin que les valeurs des attributs proviennent de votre IdP. Si vous ne pouvez pas utiliser SCIM avec votre IdP, ajoutez les utilisateurs et leurs attributs à l'aide de la page utilisateur de la console IAM Identity Center.

  • Si vous utilisez Active Directory ou IAM Identity Center comme source d'identité, ou si vous utilisez un IdP et choisissez de sélectionner des attributs dans IAM Identity Center, passez en revue les attributs disponibles que vous pouvez configurer. Passez ensuite immédiatement à l'étape 4 pour commencer à configurer vos attributs ABAC à l'aide de la console IAM Identity Center.
4

Sélectionnez les attributs à utiliser pour ABAC à l'aide de la page Attributs pour le contrôle d'accès de la console IAM Identity Center. Sur cette page, vous pouvez sélectionner des attributs pour le contrôle d'accès à partir de la source d'identité que vous avez configurée à l'étape 2. Une fois que vos identités et leurs attributs se trouvent dans IAM Identity Center, vous devez créer des paires clé-valeur (mappages) qui vous seront transmises Comptes AWS pour être utilisées dans les décisions de contrôle d'accès.

5

Créez des politiques d'autorisation personnalisées au sein de votre ensemble d'autorisations et utilisez les attributs de contrôle d'accès pour créer des règles ABAC afin que les utilisateurs puissent uniquement accéder aux ressources dont les balises correspondent. Les attributs utilisateur que vous avez configurés à l'étape 4 sont utilisés comme balises AWS pour les décisions de contrôle d'accès. Vous pouvez faire référence aux attributs de contrôle d'accès dans la politique d'autorisation à l'aide de la aws:PrincipalTag/key condition.

6

Dans vos différents Comptes AWS, assignez des utilisateurs aux ensembles d'autorisations que vous avez créés à l'étape 5. Cela garantit que lorsqu'ils se fédérent dans leurs comptes et accèdent aux AWS ressources, ils n'y accèdent qu'en fonction des balises correspondantes.

Une fois ces étapes terminées, les utilisateurs qui se fédérent pour Compte AWS utiliser l'authentification unique auront accès à leurs AWS ressources en fonction des attributs correspondants.