View a markdown version of this page

Création de politiques d'autorisation pour ABAC dans IAM Identity Center - AWS IAM Identity Center
Clé de condition aws:PrincipalTag

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de politiques d'autorisation pour ABAC dans IAM Identity Center

Vous pouvez créer des politiques d'autorisation qui déterminent qui peut accéder à vos AWS ressources en fonction de la valeur d'attribut configurée. Lorsque vous activez ABAC et que vous spécifiez des attributs, IAM Identity Center transmet la valeur d'attribut de l'utilisateur authentifié à IAM afin de l'utiliser dans le cadre de l'évaluation des politiques.

Clé de condition aws:PrincipalTag

Vous pouvez utiliser des attributs de contrôle d'accès dans vos ensembles d'autorisations à l'aide de la clé de aws:PrincipalTag condition pour créer des règles de contrôle d'accès. Par exemple, dans la politique suivante, vous pouvez étiqueter toutes les ressources de votre organisation avec leurs centres de coûts respectifs. Vous pouvez également utiliser un ensemble d'autorisations unique qui accorde aux développeurs l'accès aux ressources de leur centre de coûts. Désormais, chaque fois que les développeurs se fédérent dans le compte à l'aide de l'authentification unique et de leur attribut de centre de coûts, ils n'ont accès qu'aux ressources de leurs centres de coûts respectifs. Au fur et à mesure que l'équipe ajoute des développeurs et des ressources à son projet, il vous suffit de baliser les ressources avec le centre de coûts approprié. Vous transmettez ensuite les informations du centre de coûts lors de la AWS session dans laquelle les développeurs se Comptes AWS fédérent. Ainsi, à mesure que l'organisation ajoute de nouvelles ressources et de nouveaux développeurs au centre de coûts, les développeurs peuvent gérer les ressources alignées sur leurs centres de coûts sans avoir besoin de mettre à jour les autorisations.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Lorsque les utilisateurs se fédérent dans et Compte AWS via IAM Identity Center, les attributs de contrôle d'accès configurés sont transmis sous forme de balises de session. Vous pouvez faire référence à ces balises de session dans vos politiques à l'aide de la clé de aws:PrincipalTag/tag-key condition. Cette clé de condition est prise en charge dans tous les types de politiques AWS IAM pertinents dans lesquels vous pouvez utiliser des conditions, notamment les politiques basées sur l'identité, les politiques basées sur les ressources, les limites d'autorisations, les politiques de contrôle des services () et les politiques de point de terminaison SCPs VPC. Cela vous permet de prendre des décisions précises en matière de contrôle d'accès en fonction des attributs des utilisateurs dans l'ensemble AWS de votre environnement.

Pour plus d'informations, consultez aws:PrincipalTaget EC2 : Démarrer ou arrêter des instances en fonction de la correspondance des balises principale et ressource dans le guide de l'utilisateur IAM.

Si les politiques contiennent des attributs non valides dans leurs conditions, la condition de politique échouera et l'accès sera refusé. Pour de plus amples informations, veuillez consulter Erreur « Une erreur inattendue s'est produite » lorsqu'un utilisateur tente de se connecter à l'aide d'un fournisseur d'identité externe.