本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用并配置访问控制属性
<a name="configure-abac"></a>

[要使用基于属性的访问权限控制（ABAC），您必须首先在 IAM Identity Center 控制台的**设置**页面或 IAM Identity Center API 中启用它。](https://docs.aws.amazon.com//singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html)无论使用何种身份源，您都可以从身份存储中配置用户属性，用于基于属性的访问控制（ABAC）。在控制台中，您可通过导航至**设置**页面的**访问控制属性**选项卡完成此配置。如果您使用外部身份提供者（IdP）作为身份源，还可以选择通过 SAML 断言接收来自外部 IdP 的属性。在此情况下，您需要配置外部 IdP 以发送所需属性。如果 SAML 断言中的某个属性在 IAM Identity Center 中也被定义为 ABAC 属性，则 IAM Identity Center 会在用户登录 AWS 账户时，将其身份存储中的该属性值作为[会话标签](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_session-tags.html)发送。

**注意**  
您无法从 IAM Identity Center 控制台的**访问控制属性**页面查看外部 IdP 配置和发送的属性。如果您在来自外部 IdP 的 SAML 断言中传递访问控制属性，则当用户进行联合身份验证时，这些属性将直接发送到 AWS 账户 。这些属性在 IAM Identity Center 中不可用于映射。

**Topics**
+ [启用访问控制属性](enable-abac.md)
+ [选择访问控制属性](configure-abac-attributes.md)
+ [禁用访问控制属性](disable-abac.md)