As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controle o acesso a segredos usando o controle de acesso por atributo (ABAC)
Attribute-based o controle de acesso (ABAC) é uma estratégia de autorização que define permissões com base nos atributos ou características do usuário, dos dados ou do ambiente, como o departamento, a unidade de negócios ou outros fatores que podem afetar o resultado da autorização. Em AWS, esses atributos são chamados de *tags*.
O uso de tags para controlar permissões é útil em ambientes que estão crescendo rapidamente e ajuda em situações em que o gerenciamento de políticas se torna um problema. As regras ABAC são avaliadas dinamicamente no runtime, o que significa que o acesso dos usuários às aplicações e aos dados e o tipo de operações permitidas mudam automaticamente com base nos fatores contextuais da política. Por exemplo, se um usuário muda de departamento, o acesso é ajustado automaticamente sem a necessidade de atualizar as permissões ou solicitar novas funções. Para obter mais informações, consulte: [Para AWS que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? , [Defina permissões para acessar segredos com base em tags.](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) e [escale suas necessidades de autorização para o Secrets Manager usando o ABAC com o IAM Identity Center](https://aws.amazon.com/blogs/security/scale-your-authorization-needs-for-secrets-manager-using-abac-with-iam-identity-center/).
## Exemplo: permitir que uma identidade acesse segredos que tenham tags específicas
A política a seguir permite o `DescribeSecret` acesso a segredos com uma tag com a chave {{ServerName}} e o valor{{ServerABC}}. Se você anexar essa política a uma identidade, a identidade terá permissão para qualquer segredo com essa tag na conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "secretsmanager:DescribeSecret",
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/{{ServerName}}": "{{ServerABC}}"
}
}
}
}
```
------
## Exemplo: permitir o acesso somente a identidades com tags que correspondam às tags dos segredos
A política a seguir permite que qualquer identidade na conta `GetSecretValue` acesse qualquer segredo na conta em que a tag {{`AccessProject`}} da identidade tenha o mesmo valor que a tag {{`AccessProject`}} do segredo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Condition": {
"StringEquals": {
"aws:ResourceTag/{{AccessProject}}": "${ aws:PrincipalTag/{{AccessProject}} }"
}
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
}
```
------