本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 啟用和設定存取控制的屬性
若要使用屬性型存取控制 (ABAC),您必須先在 IAM Identity Center 主控台的設定****頁面或 [IAM Identity Center API](https://docs.aws.amazon.com//singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html) 中啟用它。無論身分來源為何,您一律可以從身分存放區設定使用者屬性,以便在 ABAC 中使用。在 主控台中,您可以透過導覽至**設定**頁面上**的存取控制屬性**索引標籤來執行此操作。如果您使用外部身分提供者 (IdP) 做為身分來源,您也可以選擇從 SAML 聲明中的外部 IdP 接收屬性。在此情況下,您需要設定外部 IdP 以傳送所需的屬性。如果 SAML 聲明中的屬性也定義為 IAM Identity Center 中的 ABAC 屬性,IAM Identity Center 會在登入時將值從其 Identity Store 做為[工作階段標籤](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_session-tags.html)傳送至 AWS 帳戶。
**注意**
您無法從 IAM Identity Center 主控台的**存取控制屬性**頁面檢視外部 IdP 設定和傳送的屬性。如果您要從外部 IdP 傳遞 SAML 聲明中的存取控制屬性,則當使用者聯合 AWS 帳戶 時,這些屬性會直接傳送至 。屬性無法在 IAM Identity Center 中用於映射。
**Topics**
+ [
# 啟用存取控制的屬性
](enable-abac.md)
+ [
# 選取您的屬性以進行存取控制
](configure-abac-attributes.md)
+ [
# 停止以屬性進行存取控制
](disable-abac.md)
# 啟用存取控制的屬性
使用下列程序,使用 IAM Identity Center 主控台啟用存取 (ABAC) 控制功能的屬性。
**注意**
如果您有現有的許可集,且計劃在 IAM Identity Center 執行個體中啟用 ABAC,則其他安全限制會要求您先擁有 `iam:UpdateAssumeRolePolicy`政策。如果您沒有在帳戶中建立任何許可集,則不需要這些額外的安全限制。
如果您的 IAM Identity Center 執行個體是在 2020 年 12 月之前建立,且您計劃在其中啟用 ABAC,則無論您的帳戶中是否建立許可集,您都必須擁有與 IAM Identity Center 管理角色相關聯的`iam:UpdateAssumeRolePolicy`政策。
**啟用存取控制的屬性**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**
1. 在**設定**頁面上,找到**存取控制資訊的屬性**方塊,然後選擇**啟用**。繼續下一個程序來設定它。
# 選取您的屬性以進行存取控制
使用下列程序來設定 ABAC 組態的屬性。
**使用 IAM Identity Center 主控台選取屬性**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**
1. 在**設定**頁面上,選擇**存取控制的屬性**索引標籤,然後選擇**管理屬性**。
1. 在**存取控制的屬性**頁面上,選擇**新增屬性**,然後輸入**索引鍵**和**值**詳細資訊。在這裡,您將將來自身分來源的屬性映射到 IAM Identity Center 作為工作階段標籤傳遞的屬性。
![\[IAM Identity Center 主控台中的索引鍵值詳細資訊。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/abac_key_value.png)
**索引鍵**代表您要提供給屬性的名稱,以用於 政策。這可以是任何任意名稱,但您需要在您為存取控制撰寫的政策中指定該確切名稱。例如,假設您使用 Okta(外部 IdP) 作為身分來源,並且需要將組織的成本中心資料作為工作階段標籤傳遞。在**金鑰**中,您會輸入類似相符的名稱,例如做為金鑰名稱的 **CostCenter**。請務必注意,無論您在此處選擇哪個名稱,它也必須在 `aws:PrincipalTag 條件金鑰`(即 ) 中命名為完全相同的名稱`"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`。
**注意**
為您的金鑰使用單一值屬性,例如 **Manager**。IAM Identity Center 不支援 ABAC 的多值屬性,例如 **Manager, IT Systems**。
**值**代表來自您設定之身分來源的屬性內容。在這裡,您可以從 中列出的適當身分來源資料表輸入任何值[IAM Identity Center 與外部身分提供者目錄之間的屬性映射](attributemappingsconcept.md)。例如,使用上述範例中提供的內容,您可以檢閱支援的 IdP 屬性清單,並判斷支援屬性最接近的相符項目會是 **`${path:enterprise.costCenter}`**,然後在**值**欄位中輸入它。如需參考,請參閱上述提供的螢幕擷取畫面。請注意,除非您使用透過 SAML 聲明傳遞屬性的選項,否則您無法將此清單以外的外部 IdP 屬性值用於 ABAC。
1. 選擇**儲存變更**。
現在您已設定映射存取控制屬性,您需要完成 ABAC 組態程序。若要這樣做,請建立 ABAC 規則,並將其新增至您的許可集和/或資源型政策。這是必要的,以便您可以授予使用者身分對 AWS 資源的存取權。如需詳細資訊,請參閱[在 IAM Identity Center 中建立 ABAC 的許可政策](configure-abac-policies.md)。
# 停止以屬性進行存取控制
使用下列程序停用 ABAC 功能,並刪除所有已設定的屬性映射。
**停用存取控制的屬性**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**存取控制的屬性**索引標籤,然後選擇**管理屬性**。
1. 在**存取控制的管理屬性**頁面上,選擇**停用**。
1. 在**停用存取控制的屬性**對話方塊中,檢閱資訊和準備就緒時輸入 **DISABLE**,然後選擇**確認**。
**重要**
此步驟會刪除所有屬性,並在聯合到 時停止使用存取控制的屬性, AWS 帳戶 無論外部身分來源提供者的 SAML 聲明中是否存在任何屬性。