翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # アクセス制御用の属性を選択する ABAC 構成向け属性設定は、次の手順で行います。 **注記** この手順は、セッションタグとして使用するために IAM Identity Center ディレクトリから属性をマッピングする場合にのみ適用されます。外部 ID プロバイダー (IdP) から SAML アサーションを介して属性を渡す場合は、ここで属性マッピングを設定する必要はありません。詳細については、「[外部 ID プロバイダーを ID ソースとして使用する際の属性を選択する](attributesforaccesscontrol.md#abac-getting-started-idp)」を参照してください。Identity Center ディレクトリからのマッピングで設定された値は、SAML アサーションで設定された値を上書きします。 **IAM Identity Center コンソールを使って属性を選択するには** 1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。 1. **[設定]** を選択します。 1. **[設定]** ページで **[アクセス制御用の属性]** タブを選択し、**[属性の管理]** を選択します。 1. **[アクセス許可の属性]** ページで、**[属性を追加]** を選択し、**[キー]** と **[値]** の詳細を入力します。ここでは、ID ソースから送られてくる属性を、IAM Identity Center がセッションタグとして渡す属性にマッピングします。 ![IAM アイデンティティセンターコンソールのキー値の詳細。](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/abac_key_value.png) **キー**は、ポリシーで使用するための属性に付ける名前を表します。これは任意の名前で構いませんが、アクセスコントロールのために作成したポリシーでは、その正確な名前を指定する必要があります。例えば、Okta (外部の IdP) を ID ソースとして使用しており、組織のコストセンターのデータをセッションタグとして渡す必要があるとします。**キー**には、**CostCenter** のような名前をキーネームとして入力します。重要なのは、ここでどのような名前を設定しても、`aws:PrincipalTag 条件キー` (つまり `"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`) で、全く同じ名前を設定する必要があります。 **注記** キーには単一値の属性 (例: **Manager**) を使用します。IAM Identity Center は ABAC の複数値属性 (例: **Manager, IT Systems**) をサポートしていません。 **値**は、設定された ID ソースから取得される属性のコンテンツを表します。ここでは、[IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング](attributemappingsconcept.md) にリストされている適切な ID ソーステーブルから任意の値を入力できます。例えば、上記の例では、サポートされている IdP 属性リストを確認して最も近い属性である **`${path:enterprise.costCenter}`** を特定し、それを**値**フィールドに入力します。上記のスクリーンショットを参考にしてください。SAML アサーションで属性を渡すオプションを使用しない限り、このリスト以外の外部 IdP の属性値を ABAC に使用することはできません。 1. **[Save changes]** (変更の保存) をクリックします。 アクセスコントロール属性のマッピング設定できたので、ABAC 設定プロセスを完了させます。そのためには、ABAC ルールを作成し、権限セットやリソースベースのポリシーに追加します。これは、ユーザー ID に AWS リソースへのアクセスを許可するために必要です。詳細については、「[IAM Identity Center を使用して ABAC の権限セットを作成する](configure-abac-policies.md)」を参照してください。