Attributi per il controllo degli accessi

Attributi per il controllo degli accessi è il nome della pagina nella console IAM Identity Center in cui selezioni gli attributi utente da utilizzare nelle policy per controllare l'accesso alle risorse. Puoi assegnare utenti ai carichi di lavoro in AWS base agli attributi esistenti nella fonte di identità degli utenti.

Ad esempio, supponiamo di voler assegnare l'accesso ai bucket S3 in base ai nomi dei reparti. Nella pagina Attributi per il controllo degli accessi, si seleziona l'attributo utente Department da utilizzare con il controllo degli accessi basato sugli attributi (ABAC). Nel set di autorizzazioni IAM Identity Center, scrivi quindi una policy che concede agli utenti l'accesso solo quando l'attributo Department corrisponde al tag department che hai assegnato ai tuoi bucket S3. IAM Identity Center passa l'attributo department dell'utente all'account a cui si accede. L'attributo viene quindi utilizzato per determinare l'accesso in base alla policy. Quando IAM Identity Center trasmette questi attributi all'account, vengono inviati come tag di sessione a cui è possibile fare riferimento utilizzando la chiave di aws:PrincipalTag/tag-key condizione in tutti i tipi di policy AWS IAM pertinenti. Per ulteriori informazioni su ABAC, consultaControllo dell’accesso basato sugli attributi.

Nozioni di base

Il modo in cui si inizia a configurare gli attributi per il controllo degli accessi dipende dalla fonte di identità utilizzata. Indipendentemente dalla fonte di identità scelta, dopo aver selezionato gli attributi è necessario creare o modificare le politiche relative ai set di autorizzazioni. Queste politiche devono concedere alle identità degli utenti l'accesso alle AWS risorse.

Scelta degli attributi quando utilizzi IAM Identity Center come fonte di identità

Quando configuri IAM Identity Center come fonte di identità, devi prima aggiungere utenti e configurarne gli attributi. Successivamente, vai alla pagina Attributi per il controllo degli accessi e seleziona gli attributi che desideri utilizzare nelle politiche. Infine, vai alla Account AWSpagina per creare o modificare i set di autorizzazioni per utilizzare gli attributi per ABAC.

Scelta degli attributi da utilizzare AWS Managed Microsoft AD come fonte di identità

Quando configuri IAM Identity Center AWS Managed Microsoft AD come fonte di identità, per prima cosa mappi un set di attributi da Active Directory agli attributi utente in IAM Identity Center. Successivamente, vai alla pagina Attributi per il controllo degli accessi. Scegliete quindi quali attributi utilizzare nella configurazione ABAC in base al set esistente di attributi SSO mappati da Active Directory. Infine, crea le regole ABAC utilizzando gli attributi di controllo degli accessi nei set di autorizzazioni per concedere alle identità degli utenti l'accesso alle risorse. AWS Per un elenco delle mappature predefinite degli attributi utente in IAM Identity Center agli attributi utente nella directory AWS Managed Microsoft AD , consulta. Mappature predefinite tra IAM Identity Center e Microsoft AD

Scelta degli attributi quando si utilizza un provider di identità esterno come fonte di identità

Quando configuri IAM Identity Center con un provider di identità esterno (IdP) come fonte di identità, ci sono due modi per utilizzare gli attributi per ABAC.

Configura le mappature degli attributi nella console IAM Identity Center. Puoi mappare gli attributi dalla directory IAM Identity Center ai tag di sessione nella pagina Attributi per il controllo degli accessi nella console IAM Identity Center. I valori degli attributi che scegli qui provengono dalla directory Identity Center e sostituiscono i valori di tutti gli attributi corrispondenti che provengono da un IdP tramite un'asserzione SAML. A seconda che stiate usando SCIM, considerate quanto segue:
- Se si utilizza SCIM, l'IdP sincronizza automaticamente i valori degli attributi in IAM Identity Center. È quindi possibile selezionare questi attributi sincronizzati nella pagina Attributi per il controllo degli accessi per utilizzarli come tag di sessione.
- Se non si utilizza SCIM, è necessario aggiungere manualmente gli utenti e impostarne gli attributi proprio come se si utilizzasse IAM Identity Center come fonte di identità. Successivamente, vai alla pagina Attributi per il controllo degli accessi e scegli gli attributi che desideri utilizzare nelle politiche.
Passa gli attributi dal tuo IdP tramite asserzioni SAML. Puoi configurare il tuo IdP per inviare attributi come tag di sessione tramite asserzioni SAML. A tale scopo, configura il tuo IdP per inviare asserzioni SAML con il nome dell'attributo impostato suhttps://aws.amazon.com/SAML/Attributes/AccessControl:TagKey, sostituendolo TagKey con la chiave del tag di sessione che desideri compilare. IAM Identity Center trasmette il nome e il valore dell'attributo dall'IdP per la valutazione delle policy.

Non è necessario configurare una mappatura degli attributi ABAC nella pagina Attributi per il controllo degli accessi per gli attributi che trasmetti tramite asserzioni SAML dal tuo IdP esterno. Tuttavia, se configuri una mappatura ABAC per lo stesso attributo nella pagina Attributi per il controllo degli accessi, la mappatura dalla directory Identity Center ha la precedenza e sostituisce il valore inviato dal tuo IdP nell'asserzione SAML.

Nota
Gli attributi nelle asserzioni SAML non saranno visibili nella pagina Attributi per il controllo degli accessi. Dovrai conoscere questi attributi in anticipo e aggiungerli alle regole di controllo degli accessi quando crei le politiche. Se decidi di affidarti IdPs agli attributi esterni, questi attributi verranno sempre trasmessi quando gli utenti si uniscono Account AWS. Per informazioni su come configurare gli attributi utente per il controllo degli accessi nel tuo IdP da inviare tramite asserzioni SAML, consulta la sezione per Tutorial sulle fonti di identità di IAM Identity Center il tuo IdP.

Per un elenco completo degli attributi utente supportati dagli attributi utente in IAM Identity Center agli attributi utente esterni, consulta. IdPs Attributi del provider di identità esterno supportati

Per iniziare a usare ABAC in IAM Identity Center, consulta i seguenti argomenti.

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Elenco di controllo: configurazione di ABAC utilizzando IAM Identity Center AWS

Abilita e configura gli attributi per il controllo degli accessi