

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Atributos para controle de acesso
<a name="attributesforaccesscontrol"></a>

**Atributos para controle de acesso** é o nome da página no console do IAM Identity Center em que você seleciona os atributos do usuário que deseja usar nas políticas para controlar o acesso aos recursos. Você pode atribuir usuários às cargas de trabalho AWS com base nos atributos existentes na fonte de identidade dos usuários.

Por exemplo, suponha que você deseje atribuir acesso aos buckets do S3 com base nos nomes de departamento. Na página **Atributos para controle de acesso**, selecione o atributo de usuário do **Departamento** para uso com controle de acesso por atributo (ABAC). No conjunto de permissões do IAM Identity Center, você então escreve uma política que conceda acesso aos usuários somente quando o atributo **Departamento** corresponder à tag de departamento que você atribuiu aos seus buckets do S3. O IAM Identity Center passa o atributo de departamento do usuário para a conta que está sendo acessada. O atributo é então usado para determinar o acesso com base na política. Para ter mais informações sobre o ABAC, consulte [Controle de acesso por atributo](abac.md). 

## Introdução
<a name="abac-getting-started"></a>

A forma como você começa a configurar atributos para controle de acesso depende da origem de identidade que você está usando. Independentemente da origem de identidade escolhida, depois de selecionar seus atributos, você precisa criar ou editar políticas de conjunto de permissões. Essas políticas devem conceder às identidades dos usuários acesso aos recursos AWS . 

### Escolha de atributos ao usar o IAM Identity Center como sua origem de identidade
<a name="abac-getting-started-sso"></a>

Ao configurar o IAM Identity Center como origem de identidade, primeiro você adiciona usuários e configura seus atributos. Em seguida, navegue até a página **Atributos para controle de acesso** e selecione os atributos que você deseja usar nas políticas. Por fim, navegue até a página **Contas da AWS** para criar ou editar conjuntos de permissões para usar os atributos do ABAC.

### Escolha de atributos ao usar AWS Managed Microsoft AD como fonte de identidade
<a name="abac-getting-started-ms-ad"></a>

Ao configurar o IAM Identity Center AWS Managed Microsoft AD como sua fonte de identidade, primeiro mapeie um conjunto de atributos do Active Directory para os atributos do usuário no IAM Identity Center. Em seguida, navegue até a página **Atributos para controle de acesso**. Em seguida, escolha quais atributos usar em sua configuração ABAC com base no conjunto existente de atributos de SSO mapeados do Active Directory. Por fim, crie regras ABAC usando os atributos de controle de acesso nos conjuntos de permissões para conceder às identidades dos usuários acesso aos recursos AWS . Para obter uma lista dos mapeamentos padrão dos atributos do usuário no IAM Identity Center para os atributos do usuário em seu AWS Managed Microsoft AD diretório, consulte. [Mapeamento padrão entre o IAM Identity Center e o Microsoft AD](attributemappingsconcept.md#defaultattributemappings)

### Escolher atributos ao usar um provedor de identidade externo como origem de identidade
<a name="abac-getting-started-idp"></a>

Quando você configura o IAM Identity Center com um provedor de identidade externo (IdP) como sua origem de identidade, há duas maneiras de usar atributos para o ABAC.
+ Você pode configurar seu IdP para enviar os atributos por meio de asserções do SAML. Nesse caso, o IAM Identity Center passa o nome e o valor do atributo do IdP para avaliação da política.
**nota**  
Os atributos nas asserções do SAML não estarão visíveis para você na página **Atributos para controle de acesso**. Você precisará conhecer esses atributos com antecedência e adicioná-los às regras de controle de acesso ao criar políticas. Se você decidir confiar em seus atributos externos IdPs , esses atributos sempre serão transmitidos quando os usuários se federarem Contas da AWS. Em cenários em que os mesmos atributos estão chegando ao IAM Identity Center por meio de SAML e SCIM, o valor dos atributos SCIM tem precedência nas decisões de controle de acesso.
+ Você pode configurar quais atributos usar na página **Atributos para controle de acesso** no console do IAM Identity Center. Os valores de atributos escolhidos aqui substituem os valores de qualquer atributo correspondente proveniente de um IdP por meio de uma declaração. Dependendo se você estiver usando o SCIM, considere o seguinte:
  + Se estiver usando o SCIM, o IdP sincroniza automaticamente os valores dos atributos no IAM Identity Center. Atributos adicionais necessários para o controle de acesso podem não estar presentes na lista de atributos do SCIM. Nesse caso, considere colaborar com o administrador de TI em seu IdP para enviar esses atributos ao IAM Identity Center por meio de declarações SAML usando o prefixo `https://aws.amazon.com/SAML/Attributes/AccessControl:` necessário. Para obter informações sobre como configurar atributos de usuário para controle de acesso em seu IdP para enviar por meio de asserções SAML, consulte os [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md) para o seu IdP.
  + Se você não estiver usando o SCIM, deverá adicionar manualmente os usuários e definir seus atributos, como se estivesse usando o IAM Identity Center como origem de identidade. Em seguida, navegue até a página **Atributos para controle de acesso** e escolha os atributos que você deseja usar nas políticas. 

Para obter uma lista completa de atributos compatíveis entre atributos de usuário no IAM Identity Center e atributos de usuário externos IdPs, consulte[Atributos de provedor de identidade externo compatíveis](attributemappingsconcept.md#supportedidpattributes).

Para começar a usar o ABAC no IAM Identify Center, consulte os tópicos a seguir.

**Topics**
+ [Introdução](#abac-getting-started)
+ [Habilite e configure atributos para controle de acesso](configure-abac.md)
+ [Criar políticas de permissão para ABAC no IAM Identify Center](configure-abac-policies.md)

# Habilite e configure atributos para controle de acesso
<a name="configure-abac"></a>

Para usar o controle de acesso por atributo (ABAC), você deve primeiro habilitá-lo na página **Configurações** do console do IAM Identity Center ou na [API do IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html). Independentemente da fonte de identidade, você sempre pode configurar os atributos do usuário do Identity Store para uso no ABAC. No console, você pode fazer isso navegando até a aba **Atributos para controle de acesso** na página **Configurações**. Se você usa o provedor de identidades (IdP) externo como fonte de identidade, também tem a opção de receber atributos do IdP externo nas asserções do SAML. Nesse caso, você precisa configurar o IdP externo para enviar os atributos desejados. Se um atributo de uma declaração SAML também for definido como um atributo ABAC no IAM Identity Center, o IAM Identity Center enviará o valor do Identity Store como uma [tag de sessão](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_session-tags.html) ao fazer login em uma Conta da AWS.

**nota**  
Você não pode visualizar atributos configurados e enviados por um IdP externo na página **Atributos para controle de acesso** no console do IAM Identity Center. Se você estiver transmitindo atributos de controle de acesso nas asserções do SAML do seu IdP externo, esses atributos serão enviados diretamente para o Conta da AWS quando os usuários se federarem. Os atributos não estarão disponíveis no IAM Identity Center para mapeamento.

**Topics**
+ [Desabilitar atributos para controle de acesso](enable-abac.md)
+ [Selecionar atributos para controle de acesso](configure-abac-attributes.md)
+ [Desabilitar atributos para controle de acesso](disable-abac.md)

# Desabilitar atributos para controle de acesso
<a name="enable-abac"></a>

Use o seguinte procedimento para ativar o recurso de controle de atributos de acesso (ABAC) usando o console do IAM Identity Center.

**nota**  
Se você tem conjuntos de permissões existentes e planeja habilitar o ABAC em sua instância do IAM Identity Center, restrições de segurança adicionais exigem que você primeiro tenha a política `iam:UpdateAssumeRolePolicy`. Essas restrições de segurança adicionais não são obrigatórias se você não tiver nenhum conjunto de permissões criado em sua conta.  
Se sua instância do IAM Identity Center foi criada antes de dezembro de 2020 e você planeja habilitar o ABAC nela, você deve ter a `iam:UpdateAssumeRolePolicy` política associada à função administrativa do IAM Identity Center, independentemente de ter conjuntos de permissões criados em sua conta.

**Atributos para controle de acesso**

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Escolha **Configurações**.

1. Na página de **Configurações**, localize a caixa **Atributos para informações de controle de acesso** e escolha **Habilitar**. Continue com o próximo procedimento para configurá-lo.

# Selecionar atributos para controle de acesso
<a name="configure-abac-attributes"></a>

Use o procedimento a seguir para configurar atributos para sua configuração de ABAC. 

**Para selecionar seus atributos usando o console do IAM Identity Center**

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Escolha **Configurações**.

1. Na página **Configurações**, escolha a guia **Atributos para controle de acesso** e, em seguida, escolha **Gerenciar atributos**.

1. Na página **Atributos para controle de acesso**, escolha **Adicionar atributo** e insira os detalhes da **Chave** e do **Valor**. É aqui que você mapeará o atributo proveniente da sua origem de identidade para um atributo que o IAM Identity Center passa como uma tag de sessão.  
![\[Detalhes de chave-valor no console do IAM Identity.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/abac_key_value.png)

   A **chave** representa o nome que você está dando ao atributo para uso em políticas. Pode ser qualquer nome arbitrário, mas você precisa especificar esse nome exato nas políticas que você cria para controle de acesso. Por exemplo, digamos que você esteja usando Okta (um IdP externo) como sua fonte de identidade e precise transmitir os dados do centro de custos da sua organização como tags de sessão. Em **Chave**, você inseriria um nome com a mesma correspondência, **CostCenter**como o nome da sua chave. É importante observar que, seja qual for o nome que você escolher aqui, ele também deve ter o mesmo nome em seu `Chave da condição aws:PrincipalTag` (ou seja, `"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`).
**nota**  
Use um atributo de valor único para sua chave, por exemplo, **Manager**. O IAM Identity Center não oferece suporte a atributos de vários valores para ABAC, por exemplo, **Manager, IT Systems**.

   O **valor** representa o conteúdo do atributo proveniente da sua fonte de identidade configurada. Aqui você pode inserir qualquer valor da tabela de origem de identidade apropriada listada em [Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos](attributemappingsconcept.md). Por exemplo, usando o contexto fornecido no exemplo mencionado acima, você analisaria a lista de atributos de IdP suportados e determinaria que a correspondência mais próxima de um atributo suportado seria **`${path:enterprise.costCenter}`** e, em seguida, iria inseri-la no campo **Valor**. Consulte a captura de tela fornecida acima para referência. Observe que você não pode usar valores de atributos externos do IdP fora dessa lista para o ABAC, a menos que use a opção de transmitir atributos por meio da asserção SAML.

1. Escolha **Salvar alterações**.

Agora que você configurou o mapeamento de seus atributos de controle de acesso, você precisa concluir o processo de configuração do ABAC. Para fazer isso, crie suas regras ABAC e adicione-as às políticas baseadas em and/or recursos de seus conjuntos de permissões. Isso é necessário para que você possa conceder acesso aos recursos AWS às identidades dos usuários. Para obter mais informações, consulte [Criar políticas de permissão para ABAC no IAM Identify Center](configure-abac-policies.md).

# Desabilitar atributos para controle de acesso
<a name="disable-abac"></a>

Use o procedimento a seguir para desativar o recurso ABAC e excluir todos os mapeamentos de atributos que foram configurados. 

**Para desabilitar atributos para controle de acesso**

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Escolha **Settings**.

1. Na página **Configurações**, escolha a guia **Atributos para controle de acesso** e, em seguida, escolha **Gerenciar atributos**.

1. Na página **Gerenciar atributos para controle de acesso**, escolha **Desabilitar**.

1. Na janela de diálogo **Desabilitar atributos para controle de acesso**, revise as informações e, quando estiver com tudo pronto, insira **DISABLE** e escolha **Confirmar**.
**Importante**  
Essa etapa exclui todos os atributos e interrompe o uso de atributos para controle de acesso durante a federação para as Contas da AWS , independentemente de algum atributo estar presente nas asserções SAML de um provedor externo de fonte de identidade.

# Criar políticas de permissão para ABAC no IAM Identify Center
<a name="configure-abac-policies"></a>

Você pode criar políticas de permissões que determinam quem pode acessar seus recursos da AWS com base nos valores de atributo configurados. Quando você habilita o ABAC e especifica atributos, o IAM Identity Center passa para o IAM o valor do atributo do usuário autenticado para uso na avaliação de políticas.

## Chave da condição aws:PrincipalTag
<a name="abac-principaltag"></a>

Você pode usar atributos de controle de acesso em seus conjuntos de permissões usando a chave de condição `aws:PrincipalTag` para criar regras de controle de acesso. Por exemplo, na política a seguir, você pode marcar todos os recursos da organização com os respectivos centros de custo. Você também pode usar um único conjunto de permissões que conceda aos desenvolvedores acesso aos recursos do centro de custos. Agora, sempre que os desenvolvedores se federarem na conta usando o login único e seu atributo de centro de custos, eles só têm acesso aos recursos em seus respectivos centros de custo. À medida que a equipe adiciona mais desenvolvedores e recursos ao projeto, você só precisa marcar os recursos com o centro de custos correto. Em seguida, você passa as informações do centro de custos na AWS sessão quando os desenvolvedores se Contas da AWS federam. Como resultado, à medida que a organização adiciona novos recursos e desenvolvedores ao centro de custos, os desenvolvedores podem gerenciar recursos alinhados a seus centros de custo sem precisar de nenhuma atualização de permissão.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}
```

------

Para obter mais informações, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) e [EC2: Iniciar ou interromper instâncias com base na correspondência das tags principal e de recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2-start-stop-match-tags.html) no *Guia do usuário do IAM*.

Se as políticas contiverem atributos inválidos em suas condições, a condição da política falhará e o acesso será negado. Para obter mais informações, consulte [Erro “Ocorreu um erro inesperado” quando um usuário tenta fazer login usando um provedor de identidades externo](troubleshooting.md#issue8).