本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 選取您的屬性以進行存取控制 使用下列程序來設定 ABAC 組態的屬性。 **使用 IAM Identity Center 主控台選取屬性** 1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。 1. 選擇**設定** 1. 在**設定**頁面上,選擇**存取控制的屬性**索引標籤,然後選擇**管理屬性**。 1. 在**存取控制的屬性**頁面上,選擇**新增屬性**,然後輸入**索引鍵**和**值**詳細資訊。在這裡,您將將來自身分來源的屬性映射到 IAM Identity Center 作為工作階段標籤傳遞的屬性。 ![\[IAM Identity Center 主控台中的索引鍵值詳細資訊。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/abac_key_value.png) **索引鍵**代表您要提供給屬性的名稱,以用於 政策。這可以是任何任意名稱,但您需要在您為存取控制撰寫的政策中指定該確切名稱。例如,假設您使用 Okta(外部 IdP) 作為身分來源,並且需要將組織的成本中心資料作為工作階段標籤傳遞。在**金鑰**中,您會輸入類似相符的名稱,例如做為金鑰名稱的 **CostCenter**。請務必注意,無論您在此處選擇哪個名稱,它也必須在 `aws:PrincipalTag 條件金鑰`(即 ) 中命名為完全相同的名稱`"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`。 **注意** 為您的金鑰使用單一值屬性,例如 **Manager**。IAM Identity Center 不支援 ABAC 的多值屬性,例如 **Manager, IT Systems**。 **值**代表來自您設定之身分來源的屬性內容。在這裡,您可以從 中列出的適當身分來源資料表輸入任何值[IAM Identity Center 與外部身分提供者目錄之間的屬性映射](attributemappingsconcept.md)。例如,使用上述範例中提供的內容,您可以檢閱支援的 IdP 屬性清單,並判斷支援屬性最接近的相符項目會是 **`${path:enterprise.costCenter}`**,然後在**值**欄位中輸入它。如需參考,請參閱上述提供的螢幕擷取畫面。請注意,除非您使用透過 SAML 聲明傳遞屬性的選項,否則您無法將此清單以外的外部 IdP 屬性值用於 ABAC。 1. 選擇**儲存變更**。 現在您已設定映射存取控制屬性,您需要完成 ABAC 組態程序。若要這樣做,請建立 ABAC 規則,並將其新增至您的許可集和/或資源型政策。這是必要的,以便您可以授予使用者身分對 AWS 資源的存取權。如需詳細資訊,請參閱[在 IAM Identity Center 中建立 ABAC 的許可政策](configure-abac-policies.md)。