# AWS 安全事件响应 中的访问控制列表(ACL) **支持 ACL:**否 访问控制列表(ACL)控制哪些主体(账户成员、用户或角色)有权访问资源。ACL 与基于资源的策略类似,但它们不使用 JSON 策略文档格式。 ***用于 AWS 安全事件响应的基于属性的访问权限控制(ABAC)*** **支持 ABAC(策略中的标签):**是 基于属性的访问控制(ABAC)是一种授权策略,该策略基于属性来定义权限。在 AWS 中,这些属性称为*标签*。您可以将标签附加到 IAM 实体(用户或角色)以及 AWS 资源。标记实体和资源是 ABAC 的第一步。然后设计 ABAC 策略,以在主体的标签与他们尝试访问的资源标签匹配时允许操作。ABAC 在快速增长的环境中非常有用,并在策略管理变得繁琐的情况下可以提供帮助。 要基于标签控制访问,您需要使用 AWS:ResourceTag/key-name、AWS:RequestTag/key-name 或 AWS:TagKeys 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为**部分**。有关 ABAC 的更多信息,请参阅《IAM 用户指南**》中的[什么是 ABAC?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。 ***将临时凭证用于 AWS 安全事件响应*** **支持临时凭证:**是 AWS 服务在您使用临时凭证登录时无法正常工作。有关更多信息,包括AWS服务与临时凭证配合使用,请参阅《IAM 用户指南》**中的[使用 IAM 的AWS服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。如果您不使用用户名和密码而用其他方法登录到 AWS 管理控制台,可使用临时凭证。例如,当您使用贵公司的单点登录(SSO)链接访问 AWS 时,该过程将自动创建临时凭证。当您以用户身份登录控制台,然后切换角色时,您还会自动创建临时凭证。有关切换角色的更多信息,请参阅《IAM 用户指南》**中的[切换到角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)。 您可以使用 AWS CLI 或者 AWS API 手动创建临时凭证。之后,您可以使用这些临时凭证访问 AWS。AWS 建议您动态生成临时凭证,而不是使用长期访问密钥。有关更多信息,请参阅 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)。 ***AWS 安全事件响应 的转发访问会话*** **支持转发访问会话(FAS):**是 当您使用 IAM 用户或角色在 AWS 中执行操作时,您将被视为主体。使用某些服务时,您可能会执行一个操作,然后此操作在其他服务中启动另一个操作。FAS 使用主体调用 AWS 服务的权限,结合请求的 AWS 服务,向下游服务发出请求。只有在服务收到需要与其它 AWS 服务或资源交互才能完成的请求时,才会发出 FAS 请求。在这种情况下,您必须具有执行这两项操作的权限。有关发出 FAS 请求时的策略详情,请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。