启用并配置访问控制属性
要使用基于属性的访问权限控制(ABAC),您必须首先在 IAM Identity Center 控制台的设置页面或 IAM Identity Center API 中启用它。无论使用何种身份源,您都可以从身份存储中配置用户属性,用于基于属性的访问控制(ABAC)。在控制台中,您可通过导航至设置页面的访问控制属性选项卡完成此配置。如果您使用外部身份提供者(IdP)作为身份源,还可以选择通过 SAML 断言接收来自外部 IdP 的属性。在此情况下,您需要配置外部 IdP 以发送所需属性。如果 SAML 断言中的某个属性在 IAM Identity Center 中也被定义为 ABAC 属性,则 IAM Identity Center 会在用户登录 AWS 账户时,将其身份存储中的该属性值作为会话标签发送。
注意
您无法从 IAM Identity Center 控制台的访问控制属性页面查看外部 IdP 配置和发送的属性。如果您在来自外部 IdP 的 SAML 断言中传递访问控制属性,则当用户进行联合身份验证时,这些属性将直接发送到 AWS 账户。这些属性在 IAM Identity Center 中不可用于映射。
