IAM 身份中心-启用和配置访问控制属性:操作场景

时间：2025-02-12 14:54:20

操作场景

在任一身份源中实施ABAC，首先都需在 IAM 身份中心启用访问控制属性功能，并在其中添加需要在权限集策略中使用的用户属性来控制用户对资源的访问权限。可添加的用户属性如用户的基本信息、联系方式、工作相关信息和地址信息等。当前支持实施ABAC的用户属性请参见支持配置的用户属性。

例如您要根据用户的用户名分配其对组织资源的访问权限，您可以在“访问控制属性”页面上添加用户名属性用于ABAC。然后在IAM身份中心的权限集中添加一个自定义身份策略，该策略仅在用户的用户名与您分配给组织资源的标签值匹配时才授予用户访问权限。关于ABAC相关自定义策略的详细信息请参见：为ABAC创建权限策略。

对于不同的身份源实施ABAC的差异如下：

当使用IAM身份中心作为身份源时，您需要在IAM身份中心的“访问控制属性”页面添加实施ABAC的属性。
当使用外部身份提供商作为身份源时，有如下两种方法可以添加实施ABAC的属性。
- 在外部身份提供商处添加ABAC属性。您可以将外部身份提供商配置为通过SAML断言发送属性，在这种情况下，IAM身份中心将获取来自外部身份提供商传递的属性键和属性值用于策略评估。具体配置请参考外部身份提供商文档的相关内容。
  
  通过SAML断言传递的属性在IAM身份中心的“访问控制属性”页面不可见，您必须提前了解这些属性，并在创建权限策略时将其添加到访问控制规则中。
- 在IAM身份中心的“访问控制属性”页面配置ABAC属性。如果在IAM身份中心和外部身份提供商处设置的ABAC属性相同，则优先以IAM身份中心设置的属性进行访问控制决策。