AWS 安全事件响应 中的访问控制列表(ACL) - AWS 安全事件响应 用户指南

AWS 安全事件响应 中的访问控制列表(ACL)

支持 ACL:

访问控制列表(ACL)控制哪些主体(账户成员、用户或角色)有权访问资源。ACL 与基于资源的策略类似,但它们不使用 JSON 策略文档格式。

用于 AWS 安全事件响应的基于属性的访问权限控制(ABAC)

支持 ABAC(策略中的标签):

基于属性的访问控制(ABAC)是一种授权策略,该策略基于属性来定义权限。在 AWS 中,这些属性称为标签。您可以将标签附加到 IAM 实体(用户或角色)以及 AWS 资源。标记实体和资源是 ABAC 的第一步。然后您需要设计 ABAC 策略,在主体的标签与他们尝试访问的资源标签匹配时,允许操作。ABAC 在快速增长的环境中非常有用,可以在策略管理变得繁琐的情况下提供帮助。

要基于标签控制访问,您需要使用 AWS:ResourceTag/key-name、AWS:RequestTag/key-name 或 AWS:TagKeys 条件键在策略的 Condition 元素中提供标签信息。如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为部分。有关 ABAC 的更多信息,请参阅《IAM 用户指南》中的什么是 ABAC?。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》中的使用基于属性的访问权限控制(ABAC)

Amazon 的 AWS 安全事件响应的临时凭证

支持临时凭证:

AWS 服务在您使用临时凭证登录时无法正常工作。有关更多信息(包括哪些 AWS 服务可以使用临时凭证),请参阅《IAM 用户指南》中的使用 IAM 的 AWS 服务。如果您不使用用户名和密码而用其他方法登录到 AWS 管理控制台,请使用临时凭证。例如,当您使用贵公司的单点登录(SSO)链接访问 AWS 时,该过程将自动创建临时凭证。当您以用户身份登录控制台,然后切换角色时,您还会自动创建临时凭证。有关切换角色的更多信息,请参阅《IAM 用户指南》中的切换到角色(控制台)

您可以使用 AWS CLI 或者 AWS API 手动创建临时凭证。之后,您可以使用这些临时凭证访问 AWS。AWS 建议您动态生成临时凭证,而不是使用长期访问密钥。有关更多信息,请参阅 IAM 中的临时安全凭证

AWS 安全事件响应的转发访问会话

支持转发访问会话(FAS):

当您使用 IAM 用户或角色在 AWS 中执行操作时,您将被视为主体。使用某些服务时,您可能会执行一个操作,然后此操作在其他服务中启动另一个操作。FAS 使用主体调用 AWS 服务的权限,结合请求的 AWS 服务,向下游服务发出请求。只有在服务收到需要与其它 AWS 服务或资源交互才能完成的请求时,才会发出 FAS 请求。在这种情况下,您必须具有执行这两项操作的权限。有关发出 FAS 请求时的策略详情,请参阅转发访问会话