本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 适用于 Amazon SQS 的基于属性的访问控制
<a name="sqs-abac"></a>

## 什么是 ABAC？
<a name="sqs-abac-whatis"></a>

基于属性的访问控制 (ABAC) 是一种授权过程，它根据附加到用户和资源的标签来定义权限。 AWS ABAC 根据属性和值提供精细而灵活的访问控制，降低与重新配置的基于角色的策略相关的安全风险，并集中审计和访问策略管理。有关 ABAC 的更多详细信息，请参阅《IAM 用户指南》**中的[什么是 AWS ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

Amazon SQS 支持 ABAC，允许您根据与 Amazon SQS 队列关联的标签和别名来控制对 Amazon SQS 队列的访问权限。Amazon SQS 中启用 ABAC 的标签和别名条件键授权 IAM 主体使用 Amazon SQS 队列，而无需编辑策略或管理授权。要进一步了解 ABAC 条件键，请参阅《服务授权参考》**中的 [Condition keys for Amazon SQS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html#amazonsqs-policy-keys)。

借助 ABAC，您可以使用标签为 Amazon SQS 队列配置 IAM 访问权限和策略，这有助于您扩展权限管理。您可以使用添加到每个业务角色的标签在 IAM 中创建单个权限策略，而不必在每次添加新资源时都更新策略。您还可以向 IAM 主体附加标签以创建 ABAC 策略。您可以将 ABAC 策略设计为在进行调用的 IAM 用户角色上的标签与 Amazon SQS 队列标签匹配时允许 Amazon SQS 操作。要了解有关添加标签的更多信息 AWS，请参阅[AWS 标记策略和](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)。[Amazon SQS 成本分配标签](sqs-queue-tags.md)

**注意**  
ABAC for Amazon SQS 目前已在 AWS 所有提供亚马逊 SQS 的商业区域推出，但以下情况除外：  
亚太地区（海得拉巴）
亚太地区（墨尔本）
欧洲（西班牙） 
欧洲（苏黎世）

## 为什么应该在 Amazon SQS 中使用 ABAC？
<a name="sqs-abac-benefits"></a>

以下是在 Amazon SQS 中使用 ABAC 的一些好处：
+ ABAC for Amazon SQS 需要更少的权限策略。您无需为不同工作职能创建不同策略。您可以使用适用于多个队列的资源和请求标签，这样可以减少操作开销。
+ 使用 ABAC 快速扩大团队规模。当资源在创建过程中被适当地标记时，将根据标签自动授予新资源的权限。
+ 使用 IAM 主体的权限来限制资源访问。您可以为 IAM 主体创建标签，并使用它们来限制对与 IAM 主体标签匹配的特定操作的访问权限。这可以帮助您自动执行授予请求权限的过程。
+ 跟踪谁在访问您的资源。您可以通过查看 AWS CloudTrail中的用户属性来确定会话的身份。

**Topics**
+ [什么是 ABAC？](#sqs-abac-whatis)
+ [为什么应该在 Amazon SQS 中使用 ABAC？](#sqs-abac-benefits)
+ [访问控制标签](sqs-abac-tagging-resource-control.md)
+ [创建 IAM 用户和 Amazon SQS 队列](sqs-abac-creating-queues.md)
+ [测试基于属性的访问控制](sqs-abac-testing-access-control.md)