翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 属性ベースのアクセスコントロール
属性ベースのアクセス制御 (ABAC) は、属性に基づいてアクセス許可を定義する認可戦略です。IAM Identity Center を使用して、任意の IAM Identity Center ID ソースからのユーザー属性 AWS アカウント を使用して、複数の のリソースへのアクセス AWS を管理できます。では AWS、これらの属性はタグと呼ばれます。でユーザー属性をタグとして使用すると、 AWS できめ細かなアクセス許可を作成するプロセスが簡素化 AWS され、タグが一致する AWS リソースにのみワークフォースがアクセスできるようになります。
例えば、2 つの異なるチームに所属する開発者ボブとサリーを IAM Identity Center で同じアクセス権限セットに割り当て、アクセスコントロールにチーム名属性を選択することができます。Bob と Sally が にサインインすると AWS アカウント、IAM Identity Center は AWS セッションでチーム名属性を送信するため、Bob と Sally はチーム名属性が AWS プロジェクトリソースのチーム名タグと一致する場合にのみプロジェクトリソースにアクセスできます。将来、Bob が Sally のチームに移った場合、コーポレートディレクトリのチーム名属性を更新するだけで、Bob のアクセスを変更することができます。次回、ボブがサインインすると、 AWSでの権限の更新を必要とせず、自動的に新しいチームのプロジェクトリソースにアクセスできるようになります。
このアプローチは、IAM Identity Center で作成したり、管理しなければならない個別のパーミッションの数を減らすのにも役立ちます。これは、同じアクセス権限セットに関連付けられたユーザーが、その属性に基づいて独自の権限を持つことができるようになったためです。これらのユーザー属性を IAM Identity Center アクセス許可セットとリソースベースのポリシーで使用して、 AWS リソースに ABAC を実装し、大規模なアクセス許可管理を簡素化できます。
## 利点
IAM Identity Center で ABAC を使用すると、以下のようなメリットがあります。
+ **ABAC では必要なアクセス許可セットの数が少ない** - 職務ごとに異なるポリシーを作成する必要がないため、アクセス許可セットの数も少なくて済みます。これにより、許可管理の複雑さを軽減できます。
+ **ABAC を使用することで、チームは変化し、急速に成長することができる** - リソースの作成時に適切なタグが付けられれば、属性に基づいて新しいリソースの権限が自動的に付与されます。
+ **ABAC で社内ディレクトリの従業員属性を利用する** - IAM Identity Center で構成された任意の ID ソースから既存の従業員属性を使用して、 AWSでのアクセスコントロールの決定を行うことができます。
+ **リソースにアクセスしているユーザーを追跡**する – セキュリティ管理者は、 のユーザー属性を確認して、 のユーザーアクティビティを追跡することで AWS CloudTrail 、セッションのアイデンティティを簡単に判断できます AWS。
IAM Identity Center コンソールを使って ABAC を設定する方法については、「[アクセスコントロールの属性](attributesforaccesscontrol.md)」を参照してください。IAM アイデンティティセンター API を使って ABAC を有効にして設定する方法については、「*IAM アイデンティティセンター API リファレンスガイド*」の「[CreateInstanceAccessControlAttributeConfiguration](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html)」を参照してください。
**Topics**
+ [利点](#abac-benefits)
+ [チェックリスト: IAM Identity Center AWS を使用した での ABAC の設定](abac-checklist.md)
+ [アクセスコントロールの属性](attributesforaccesscontrol.md)