

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# IAM Identity Center에서 ABAC에 대한 권한 정책 생성
<a name="configure-abac-policies"></a>

구성된 속성 값을 기반으로 AWS 리소스에 액세스할 수 있는 사용자를 결정하는 권한 정책을 생성할 수 있습니다. ABAC를 활성화하고 속성을 지정하면 IAM Identity Center가 정책 평가에 사용할 인증된 사용자의 속성 값을 IAM으로 전달합니다.

## aws:PrincipalTag 조건 키
<a name="abac-principaltag"></a>

액세스 제어 규칙을 생성하기 위한 `aws:PrincipalTag` 조건 키를 사용하여 권한 집합의 액세스 제어 속성을 사용할 수 있습니다. 예를 들어 다음 정책에서는 조직의 모든 리소스에 해당 비용 센터를 태그할 수 있습니다. 개발자에게 비용 센터 리소스에 대한 액세스 권한을 부여하는 단일 권한 집합을 사용할 수도 있습니다. 이제 개발자는 Single Sign-on 및 비용 센터 속성을 사용하여 계정에 페더레이션할 때마다 해당 비용 센터의 리소스에만 액세스할 수 있습니다. 팀이 프로젝트에 더 많은 개발자와 리소스를 추가함에 따라 리소스에 올바른 비용 센터 태그를 지정하기만 하면 됩니다. 그런 다음 개발자가 AWS 페더레이션할 때 세션에 비용 센터 정보를 전달합니다 AWS 계정. 따라서 조직에서 새 리소스 및 개발자를 비용 센터에 추가하면 개발자는 권한 업데이트 없이 비용 센터에 맞춰 리소스를 관리할 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}
```

------

사용자가 IAM Identity Center를 AWS 계정 통해에 페더레이션하면 구성된 액세스 제어 속성이 세션 태그로 전달됩니다. `aws:PrincipalTag/{{tag-key}}` 조건 키를 사용하여 정책에서 이러한 세션 태그를 참조할 수 있습니다. 이 조건 키는 자격 증명 기반 정책, 리소스 기반 정책, 권한 경계, 서비스 제어 정책(SCPs) 및 VPC 엔드포인트 정책을 포함하여 조건을 사용할 수 있는 모든 관련 AWS IAM 정책 유형에서 지원됩니다. 이를 통해 전체 AWS 환경의 사용자 속성을 기반으로 세분화된 액세스 제어 결정을 내릴 수 있습니다.

자세한 내용은 *IAM 사용 설명서*의 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) 및 [EC2: 일치하는 보안 주체 태그와 리소스 태그를 기반으로 인스턴스를 시작하거나 중지](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2-start-stop-match-tags.html) 항목을 참조하세요.

정책 조건에 잘못된 속성이 포함된 경우 정책 조건은 실패하고 액세스가 거부됩니다. 자세한 내용은 [사용자가 외부 ID 공급업체를 통해 로그인하려고 할 때 “예기치 않은 오류가 발생했습니다” 오류가 표시됩니다.](troubleshooting.md#issue8) 단원을 참조하십시오.