本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 存取控制的屬性
<a name="attributesforaccesscontrol"></a>

**存取控制的屬性**是 IAM Identity Center 主控台中的頁面名稱，您可以在其中選取要在政策中使用的使用者屬性，以控制對 資源的存取。您可以 AWS 根據使用者身分來源中的現有屬性，將使用者指派給 中的工作負載。

例如，假設您想要根據部門名稱指派對 S3 儲存貯體的存取權。在**存取控制的屬性**頁面上，您可以選取要與屬性型存取控制 (ABAC) 搭配使用的**部門**使用者屬性。在 IAM Identity Center 許可集中，您接著撰寫政策，只有在**部門**屬性符合您指派給 S3 儲存貯體的部門標籤時，才會授予使用者存取權。IAM Identity Center 會將使用者的部門屬性傳遞給正在存取的帳戶。然後，會使用 屬性來根據政策判斷存取權。當 IAM Identity Center 將這些屬性傳遞給帳戶時，它們會以工作階段標籤的形式傳送，您可以使用所有相關 IAM AWS 政策類型中的`aws:PrincipalTag/{{tag-key}}`條件索引鍵來參考。如需 ABAC 的詳細資訊，請參閱 [屬性型存取控制](abac.md)。

## 開始使用
<a name="abac-getting-started"></a>

如何開始設定存取控制的屬性，取決於您使用的身分來源。無論您選擇何種身分來源，在選取屬性之後，您需要建立或編輯許可集政策。這些政策必須授予使用者身分對 資源的 AWS 存取權。

### 使用 IAM Identity Center 做為您的身分來源時選擇屬性
<a name="abac-getting-started-sso"></a>

當您將 IAM Identity Center 設定為身分來源時，請先新增使用者並設定其屬性。接著，導覽至**存取控制的屬性**頁面，然後選取您要在政策中使用的屬性。最後，導覽至**AWS 帳戶**頁面以建立或編輯許可集，以使用 ABAC 的屬性。

### 使用 AWS Managed Microsoft AD 做為您的身分來源時選擇屬性
<a name="abac-getting-started-ms-ad"></a>

當您將 IAM Identity Center 設定為 AWS Managed Microsoft AD 身分來源時，請先將一組屬性從 Active Directory 映射至 IAM Identity Center 中的使用者屬性。接著，導覽至**存取控制的屬性**頁面。然後，根據從 Active Directory 映射的現有 SSO 屬性集，選擇要在 ABAC 組態中使用的屬性。最後，使用許可集中的存取控制屬性編寫 ABAC 規則，以授予使用者身分對 資源的 AWS 存取權。如需 IAM Identity Center 中使用者屬性與 AWS Managed Microsoft AD 目錄中使用者屬性的預設映射清單，請參閱 [IAM Identity Center 與 之間的預設映射 Microsoft AD](attributemappingsconcept.md#defaultattributemappings)。

### 使用外部身分提供者做為您的身分來源時，選擇屬性
<a name="abac-getting-started-idp"></a>

當您使用外部身分提供者 (IdP) 做為身分來源來設定 IAM Identity Center 時，有兩種方式可以使用 ABAC 的屬性。
+ **在 IAM Identity Center 主控台中設定屬性映射。**您可以將屬性從 IAM Identity Center 目錄映射到 IAM Identity Center 主控台**中存取控制屬性**頁面上的工作階段標籤。您在此處選擇的屬性值來自 Identity Center 目錄，並透過 SAML 聲明取代來自 IdP 的任何相符屬性值。根據您是否使用 SCIM，請考慮下列事項：
  + 如果使用 SCIM，IdP 會自動將屬性值同步到 IAM Identity Center。然後，您可以在**存取控制**的屬性頁面上選取這些同步屬性，以將其用作工作階段標籤。
  + 如果您不是使用 SCIM，則必須手動新增使用者並設定其屬性，就像使用 IAM Identity Center 做為身分來源一樣。接著，導覽至**存取控制的屬性**頁面，然後選擇您要在政策中使用的屬性。
+ **透過 SAML 聲明從您的 IdP 傳遞屬性。**您可以將 IdP 設定為透過 SAML 聲明將屬性作為工作階段標籤傳送。若要執行此作業，請將 IdP 設定為傳送屬性名稱設為 的 SAML 聲明`https://aws.amazon.com/SAML/Attributes/AccessControl:{{TagKey}}`，並將 {{TagKey}} 取代為您要填入的工作階段標籤金鑰。IAM Identity Center 會將屬性名稱和值從 IdP 傳遞到 以進行政策評估。

  您不需要針對從外部 IdP 透過 SAML 聲明傳入的屬性，**在存取控制屬性**頁面上設定 ABAC 屬性映射。不過，如果您在**存取控制的屬性**頁面上為相同的屬性設定 ABAC 映射，則來自 Identity Center 目錄的映射會優先，並在 SAML 聲明中取代 IdP 傳送的值。
**注意**  
您無法在**存取控制的屬性頁面上看到 SAML 聲明中的屬性**。您必須事先了解這些屬性，並在撰寫政策時將其新增至存取控制規則。如果您決定信任外部 IdPs的屬性，則這些屬性一律會在使用者聯合時傳遞 AWS 帳戶。如需如何在 IdP 中為存取控制設定使用者屬性以透過 SAML 聲明傳送的資訊，請參閱 IdP [IAM Identity Center 身分來源教學課程](tutorials.md)的 。

如需 IAM Identity Center 中使用者屬性到外部 IdPs 中使用者屬性的支援屬性完整清單，請參閱 [支援的外部身分提供者屬性](attributemappingsconcept.md#supportedidpattributes)。

若要在 IAM Identity Center 中開始使用 ABAC，請參閱下列主題。

**Topics**
+ [開始使用](#abac-getting-started)
+ [啟用和設定存取控制的屬性](configure-abac.md)
+ [在 IAM Identity Center 中建立 ABAC 的許可政策](configure-abac-policies.md)