翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# アクセスコントロールの属性
<a name="attributesforaccesscontrol"></a>

[**アクセスコントロールの属性**] は、IAM Identity Center コンソールのページ名で、リソースへのアクセスコントロールをするためのポリシーで使用するユーザー属性を選択します。ユーザーの ID ソースの既存の属性 AWS に基づいて、 のワークロードにユーザーを割り当てることができます。

例えば、部署名に基づいて S3 バケットへのアクセスを割り当てたいとします。**[Attributes for access control]** (アクセスコントロールの属性)では、属性ベースのアクセスコントロール (ABAC) で使用する **Department** (部署) ユーザー属性を選択します。IAM Identity Center 権限セットでは、**部署 **属性が、S3 バケットに割り当てた部門タグと一致した場合にのみ、ユーザーにアクセスを許可するポリシーを書き込みます。IAM Identity Center は、アクセスされるアカウントに、ユーザーの部門属性を渡します。そして、その属性は、ポリシーに基づいてアクセスを決定するために使用されます。IAM Identity Center がこれらの属性をアカウントに渡すと、関連するすべての IAM AWS ポリシータイプで `aws:PrincipalTag/{{tag-key}}`条件キーを使用して参照できるセッションタグとして送信されます。ABAC の詳細については、「[属性ベースのアクセスコントロール](abac.md)」を参照してください。

## 開始方法
<a name="abac-getting-started"></a>

アクセスコントロールの属性設定をどのように始めるかは、使用している ID ソースによって異なります。選択した ID ソースにかかわらず、属性を選択した後、アクセス権限セットのポリシーを作成または編集する必要があります。これらのポリシーは、ユーザーの ID に AWS リソースへのアクセスを許可する必要があります。

### IAM Identity Center を ID ソースとして使用する際の属性を選択する
<a name="abac-getting-started-sso"></a>

IAM Identity Center を ID ソースとして設定する場合、まずユーザーを追加し、その属性を設定します。次に、**[Attributes for access control]** (アクセスコントロールの属性) ページに移動して、ポリシーで使用する属性を選択します。最後に、**AWS アカウント**のページに移動して、ABAC の属性を使用するための権限セットを作成または編集します。

### を ID ソース AWS Managed Microsoft AD として使用する場合の属性の選択
<a name="abac-getting-started-ms-ad"></a>

を ID ソース AWS Managed Microsoft AD として IAM アイデンティティセンターを設定するときは、まず Active Directory の一連の属性を IAM アイデンティティセンターのユーザー属性にマッピングします。次に、**[Attributes for access control]** (アクセスコントロールの属性) のページに移動します。次に、アクティブディレクトリからマッピングされた既存の SSO 属性のセットに基づいて、ABAC 構成で使用する属性を選択します。最後に、アクセス権限セットに含まれるアクセスコントロール属性を用いて、 AWS リソースへのアクセスをユーザー ID に許可する ABAC ルールを作成します。IAM Identity Center のユーザー属性と AWS Managed Microsoft AD ディレクトリのユーザー属性のデフォルトマッピングのリストについては、「」を参照してください[IAM アイデンティティセンターと Microsoft AD の間のデフォルトのマッピング](attributemappingsconcept.md#defaultattributemappings)。

### 外部 ID プロバイダーを ID ソースとして使用する際の属性を選択する
<a name="abac-getting-started-idp"></a>

外部 ID プロバイダー (IdP) を ID ソースとして IAM Identity Center を構成する場合、ABAC で属性を使用する方法は 2 つあります。
+ **IAM Identity Center コンソールで属性マッピングを設定します。**IAM Identity Center ディレクトリの属性を、IAM Identity Center コンソールの**アクセスコントロールの属性**ページのセッションタグにマッピングできます。ここで選択した属性値は Identity Center ディレクトリから取得され、SAML アサーションを通じて IdP から取得した一致する属性の値を置き換えます。SCIM の使用状況に応じて、次のことを考慮してください。
  + SCIM を使用している場合、IdP は属性値を自動的に IAM Identity Center に同期させます。その後、**アクセスコントロールの属性**ページでこれらの同期された属性を選択して、セッションタグとして使用できます。
  + SCIM を使用しない場合は、IAM Identity Center を ID ソースとして使用する場合と同様に、手動でユーザーを追加し、属性を設定する必要があります。次に、**[Attributes for access control]** (アクセスコントロールの属性) ページに移動して、ポリシーで使用する属性を選択します。
+ **SAML アサーションを介して IdP から属性を渡します。**SAML アサーションを介してセッションタグとして属性を送信するように IdP を設定できます。これを行うには、属性名を に設定して SAML アサーションを送信するように IdP を設定します。{{TagKey}} は`https://aws.amazon.com/SAML/Attributes/AccessControl:{{TagKey}}`、入力するセッションタグキーに置き換えます。IAM Identity Center は、ポリシー評価のために属性名と値を IdP から に渡します。

  外部 IdP からの SAML アサーションを介して渡す属性の**アクセスコントロールの**属性ページで ABAC 属性マッピングを設定する必要はありません。ただし、**アクセスコントロールの**属性ページで同じ属性の ABAC マッピングを設定すると、Identity Center ディレクトリからのマッピングが優先され、SAML アサーションで IdP によって送信された値が置き換えられます。
**注記**  
SAML アサーションの属性は、**[Attributes for access control] **(アクセスコントロールの属性) ページには表示されません。これらの属性を事前に把握しておき、ポリシー作成時にアクセスコントロールルールに追加する必要があります。属性の外部 IdP を信頼する場合、ユーザーが AWS アカウントにフェデレーションする際に、これらの属性が常に渡されます。SAML アサーションの送信のために IdP 側でアクセス制御用のユーザー属性を構成する方法については、お使いの IdP の [IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md) を確認してください。

IAM Identity Center のユーザー属性から外部 IdP のユーザー属性まで、サポートされている属性の完全なリストについては、「[サポートされている外部 ID プロバイダ属性](attributemappingsconcept.md#supportedidpattributes)」を参照してください。

IAM Identity Center で ABAC を使い始めるには、以下のトピックを参照してください。

**Topics**
+ [開始方法](#abac-getting-started)
+ [アクセスコントロールのための属性の有効化と設定](configure-abac.md)
+ [IAM Identity Center を使用して ABAC の権限セットを作成する](configure-abac-policies.md)