Attributs pour le contrôle d’accès

Attributs pour le contrôle d'accès est le nom de la page de la console IAM Identity Center où vous sélectionnez les attributs utilisateur que vous souhaitez utiliser dans les politiques pour contrôler l'accès aux ressources. Vous pouvez affecter des utilisateurs à des charges de travail en AWS fonction des attributs existants dans la source d'identité des utilisateurs.

Supposons, par exemple, que vous souhaitiez attribuer l'accès aux compartiments S3 en fonction des noms des départements. Sur la page Attributs pour le contrôle d'accès, vous sélectionnez l'attribut utilisateur du département à utiliser avec le contrôle d'accès basé sur les attributs (ABAC). Dans l'ensemble d'autorisations IAM Identity Center, vous rédigez ensuite une politique qui accorde l'accès aux utilisateurs uniquement lorsque l'attribut Department correspond à la balise de département que vous avez attribuée à vos compartiments S3. IAM Identity Center transmet l'attribut de département de l'utilisateur au compte auquel il accède. L'attribut est ensuite utilisé pour déterminer l'accès en fonction de la politique. Lorsque IAM Identity Center transmet ces attributs au compte, ils sont envoyés sous forme de balises de session auxquelles vous pouvez faire référence à l'aide de la clé de aws:PrincipalTag/tag-key condition dans tous les types de politiques AWS IAM pertinents. Pour plus d'informations sur ABAC, consultezContrôle d'accès basé sur les attributs.

Prise en main

La manière dont vous commencez à configurer les attributs pour le contrôle d'accès dépend de la source d'identité que vous utilisez. Quelle que soit la source d'identité que vous choisissez, après avoir sélectionné vos attributs, vous devez créer ou modifier les politiques relatives aux ensembles d'autorisations. Ces politiques doivent accorder aux identités des utilisateurs l'accès aux AWS ressources.

Choix des attributs lors de l'utilisation d'IAM Identity Center comme source d'identité

Lorsque vous configurez IAM Identity Center comme source d'identité, vous devez d'abord ajouter des utilisateurs et configurer leurs attributs. Accédez ensuite à la page Attributs pour le contrôle d'accès et sélectionnez les attributs que vous souhaitez utiliser dans les politiques. Enfin, accédez à la Comptes AWSpage pour créer ou modifier des ensembles d'autorisations afin d'utiliser les attributs d'ABAC.

Choix des attributs lorsque vous AWS Managed Microsoft AD les utilisez comme source d'identité

Lorsque vous configurez IAM Identity Center AWS Managed Microsoft AD comme source d'identité, vous mappez d'abord un ensemble d'attributs d'Active Directory aux attributs utilisateur d'IAM Identity Center. Accédez ensuite à la page Attributs pour le contrôle d'accès. Choisissez ensuite les attributs à utiliser dans votre configuration ABAC en fonction de l'ensemble existant d'attributs SSO mappés à partir d'Active Directory. Enfin, créez des règles ABAC en utilisant les attributs de contrôle d'accès dans les ensembles d'autorisations pour accorder aux identités des utilisateurs l'accès aux AWS ressources. Pour obtenir la liste des mappages par défaut des attributs utilisateur dans IAM Identity Center avec les attributs utilisateur de votre AWS Managed Microsoft AD annuaire, consultez. Mappages par défaut entre IAM Identity Center et Microsoft AD

Choix des attributs lors de l'utilisation d'un fournisseur d'identité externe comme source d'identité

Lorsque vous configurez IAM Identity Center avec un fournisseur d'identité externe (IdP) comme source d'identité, il existe deux manières d'utiliser les attributs pour ABAC.

Configurez les mappages d'attributs dans la console IAM Identity Center. Vous pouvez mapper les attributs du répertoire IAM Identity Center aux balises de session sur la page Attributs pour le contrôle d'accès de la console IAM Identity Center. Les valeurs d'attribut que vous choisissez ici proviennent du répertoire Identity Center et remplacent les valeurs de tous les attributs correspondants provenant d'un IdP via une assertion SAML. Selon que vous utilisez ou non le SCIM, tenez compte des points suivants :
- Si vous utilisez SCIM, l'IdP synchronise automatiquement les valeurs des attributs dans IAM Identity Center. Vous pouvez ensuite sélectionner ces attributs synchronisés sur la page Attributs pour le contrôle d'accès afin de les utiliser comme balises de session.
- Si vous n'utilisez pas le SCIM, vous devez ajouter manuellement les utilisateurs et définir leurs attributs comme si vous utilisiez IAM Identity Center comme source d'identité. Accédez ensuite à la page Attributs pour le contrôle d'accès et choisissez les attributs que vous souhaitez utiliser dans les politiques.
Transmettez les attributs de votre IdP via des assertions SAML. Vous pouvez configurer votre IdP pour envoyer des attributs sous forme de balises de session via des assertions SAML. Pour ce faire, configurez votre IdP pour envoyer des assertions SAML avec le nom d'attribut défini surhttps://aws.amazon.com/SAML/Attributes/AccessControl:TagKey, en les remplaçant par TagKey la clé de balise de session que vous souhaitez renseigner. IAM Identity Center transmet le nom et la valeur de l'attribut de l'IdP à des fins d'évaluation des politiques.

Il n'est pas nécessaire de configurer un mappage d'attributs ABAC sur la page Attributs pour le contrôle d'accès pour les attributs que vous transmettez via des assertions SAML depuis votre IdP externe. Toutefois, si vous configurez un mappage ABAC pour le même attribut sur la page Attributs pour le contrôle d'accès, le mappage depuis le répertoire Identity Center a priorité et remplace la valeur envoyée par votre IdP dans l'assertion SAML.

Note
Les attributs des assertions SAML ne seront pas visibles sur la page Attributs pour le contrôle d'accès. Vous devez connaître ces attributs à l'avance et les ajouter aux règles de contrôle d'accès lorsque vous créez des politiques. Si vous décidez de faire confiance à votre externe IdPs pour les attributs, ces attributs seront toujours transmis lorsque les utilisateurs se fédéreront dans Comptes AWS. Pour plus d'informations sur la façon de configurer les attributs utilisateur pour le contrôle d'accès dans votre IdP à envoyer via des assertions SAML, consultez le Tutoriels sur les sources d'identité IAM Identity Center

Pour une liste complète des attributs pris en charge pour les attributs utilisateur dans IAM Identity Center et les attributs utilisateur dans votre environnement externe IdPs, consultezAttributs du fournisseur d'identité externe pris en charge.

Pour commencer à utiliser ABAC dans IAM Identity Center, consultez les rubriques suivantes.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Liste de contrôle : Configuration d'ABAC à AWS l'aide d'IAM Identity Center

Activer et configurer les attributs pour le contrôle d'accès