本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 存取控制的屬性
<a name="attributesforaccesscontrol"></a>

**存取控制的屬性**是 IAM Identity Center 主控台中的頁面名稱，您可以在其中選取要在政策中使用的使用者屬性，以控制對 資源的存取。您可以 AWS 根據使用者身分來源中的現有屬性，將使用者指派給 中的工作負載。

例如，假設您想要根據部門名稱指派對 S3 儲存貯體的存取權。在**存取控制的屬性**頁面上，您可以選取要與屬性型存取控制 (ABAC) 搭配使用的**部門**使用者屬性。在 IAM Identity Center 許可集中，您接著撰寫政策，只有在**部門**屬性符合您指派給 S3 儲存貯體的部門標籤時，才會授予使用者存取權。IAM Identity Center 會將使用者的部門屬性傳遞給正在存取的帳戶。然後，會使用 屬性來根據政策判斷存取權。如需 ABAC 的詳細資訊，請參閱 [屬性型存取控制](abac.md)。

## 開始使用
<a name="abac-getting-started"></a>

如何開始設定存取控制的屬性取決於您使用的身分來源。無論您選擇何種身分來源，在選取屬性之後，您需要建立或編輯許可集政策。這些政策必須授予使用者身分對 資源的 AWS 存取權。

### 使用 IAM Identity Center 做為您的身分來源時，選擇屬性
<a name="abac-getting-started-sso"></a>

當您將 IAM Identity Center 設定為身分來源時，請先新增使用者並設定其屬性。接著，導覽至**存取控制的屬性**頁面，然後選取您要在政策中使用的屬性。最後，導覽至**AWS 帳戶**頁面以建立或編輯許可集，以使用 ABAC 的屬性。

### 使用 AWS Managed Microsoft AD 做為您的身分來源時選擇屬性
<a name="abac-getting-started-ms-ad"></a>

當您將 IAM Identity Center 設定為 AWS Managed Microsoft AD 身分來源時，請先將一組屬性從 Active Directory 映射至 IAM Identity Center 中的使用者屬性。接著，導覽至**存取控制的屬性**頁面。然後，根據從 Active Directory 映射的現有 SSO 屬性集，選擇要在 ABAC 組態中使用的屬性。最後，使用許可集中的存取控制屬性編寫 ABAC 規則，以授予使用者身分對 資源的 AWS 存取權。如需 IAM Identity Center 中使用者屬性與 AWS Managed Microsoft AD 目錄中使用者屬性的預設映射清單，請參閱 [IAM Identity Center 與 之間的預設映射 Microsoft AD](attributemappingsconcept.md#defaultattributemappings)。

### 使用外部身分提供者做為您的身分來源時，選擇屬性
<a name="abac-getting-started-idp"></a>

當您使用外部身分提供者 (IdP) 做為身分來源來設定 IAM Identity Center 時，有兩種方式可以使用 ABAC 的屬性。
+ 您可以將 IdP 設定為透過 SAML 聲明傳送屬性。在這種情況下，IAM Identity Center 會將屬性名稱和值從 IdP 傳遞到 以進行政策評估。
**注意**  
您無法在**存取控制的屬性頁面上看到 SAML 聲明中的屬性**。您必須事先了解這些屬性，並在撰寫政策時將其新增至存取控制規則。如果您決定信任外部 IdPs的屬性，則這些屬性一律會在使用者聯合時傳遞 AWS 帳戶。在透過 SAML 和 SCIM 將相同屬性傳送至 IAM Identity Center 的情況下，SCIM 屬性值優先於存取控制決策。
+ 您可以從 IAM Identity Center 主控台的**存取控制屬性**頁面設定您使用的屬性。您在此處選擇的屬性值會取代來自 IdP 透過宣告的任何相符屬性的值。根據您是否使用 SCIM，請考慮下列事項：
  + 如果使用 SCIM，IdP 會自動將屬性值同步到 IAM Identity Center。存取控制所需的其他屬性可能不會出現在 SCIM 屬性清單中。在這種情況下，請考慮與 IdP 中的 IT 管理員合作，使用所需的`https://aws.amazon.com/SAML/Attributes/AccessControl:`字首透過 SAML 聲明將此類屬性傳送至 IAM Identity Center。如需如何在 IdP 中為存取控制設定使用者屬性以透過 SAML 聲明傳送的資訊，請參閱 IdP [IAM Identity Center 身分來源教學課程](tutorials.md)的 。
  + 如果您不是使用 SCIM，則必須手動新增使用者並設定其屬性，就像使用 IAM Identity Center 做為身分來源一樣。接著，導覽至**存取控制的屬性**頁面，然後選擇您要在政策中使用的屬性。

如需 IAM Identity Center 中使用者屬性到外部 IdPs 中使用者屬性的支援屬性完整清單，請參閱 [支援的外部身分提供者屬性](attributemappingsconcept.md#supportedidpattributes)。

若要在 IAM Identity Center 中開始使用 ABAC，請參閱下列主題。

**Topics**
+ [開始使用](#abac-getting-started)
+ [啟用和設定存取控制的屬性](configure-abac.md)
+ [在 IAM Identity Center 中建立 ABAC 的許可政策](configure-abac-policies.md)