View a markdown version of this page

Buat kebijakan izin untuk ABAC di IAM Identity Center - AWS IAM Identity Center
Kunci syarat aws:PrincipalTag

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat kebijakan izin untuk ABAC di IAM Identity Center

Anda dapat membuat kebijakan izin yang menentukan siapa yang dapat mengakses AWS sumber daya Anda berdasarkan nilai atribut yang dikonfigurasi. Saat Anda mengaktifkan ABAC dan menentukan atribut, Pusat Identitas IAM meneruskan nilai atribut pengguna yang diautentikasi ke IAM untuk digunakan dalam evaluasi kebijakan.

Kunci syarat aws:PrincipalTag

Anda dapat menggunakan atribut kontrol akses dalam set izin menggunakan kunci aws:PrincipalTag kondisi untuk membuat aturan kontrol akses. Misalnya, dalam kebijakan berikut, Anda dapat menandai semua sumber daya di organisasi Anda dengan pusat biaya masing-masing. Anda juga dapat menggunakan satu set izin yang memberi pengembang akses ke sumber daya pusat biaya mereka. Sekarang, setiap kali pengembang bergabung ke akun menggunakan sistem masuk tunggal dan atribut pusat biaya mereka, mereka hanya mendapatkan akses ke sumber daya di pusat biaya masing-masing. Saat tim menambahkan lebih banyak pengembang dan sumber daya ke proyek mereka, Anda hanya perlu menandai sumber daya dengan pusat biaya yang benar. Kemudian Anda meneruskan informasi pusat biaya di AWS sesi saat pengembang bergabung Akun AWS. Akibatnya, ketika organisasi menambahkan sumber daya dan pengembang baru ke pusat biaya, pengembang dapat mengelola sumber daya yang selaras dengan pusat biaya mereka tanpa memerlukan pembaruan izin apa pun.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Saat pengguna bergabung ke Pusat Identitas IAM Akun AWS melalui, atribut kontrol akses yang dikonfigurasi diteruskan sebagai tag sesi. Anda dapat mereferensikan tag sesi ini dalam kebijakan Anda menggunakan kunci aws:PrincipalTag/tag-key kondisi. Kunci kondisi ini didukung di semua jenis kebijakan AWS IAM yang relevan di mana Anda dapat menggunakan kondisi, termasuk kebijakan berbasis identitas, kebijakan berbasis sumber daya, batas izin, kebijakan kontrol layanan (), dan kebijakan titik akhir VPC. SCPs Hal ini memungkinkan Anda untuk membuat keputusan kontrol akses halus berdasarkan atribut pengguna di seluruh lingkungan Anda. AWS

Untuk informasi selengkapnya, lihat aws:PrincipalTagdan EC2: Memulai atau menghentikan instance berdasarkan pencocokan tag utama dan sumber daya di Panduan Pengguna IAM.

Jika kebijakan berisi atribut yang tidak valid dalam kondisinya, maka kondisi kebijakan akan gagal dan akses akan ditolak. Untuk informasi selengkapnya, lihat Kesalahan 'Kesalahan tak terduga telah terjadi' ketika pengguna mencoba masuk menggunakan penyedia identitas eksternal.