本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 IAM Identity Center 中建立 ABAC 的許可政策
<a name="configure-abac-policies"></a>

您可以建立許可政策，根據設定的屬性值來決定誰可以存取您的 AWS 資源。當您啟用 ABAC 並指定屬性時，IAM Identity Center 會將已驗證使用者的屬性值傳遞至 IAM，以用於政策評估。

## aws:PrincipalTag 條件金鑰
<a name="abac-principaltag"></a>

您可以使用 `aws:PrincipalTag`條件索引鍵在許可集中使用存取控制屬性來建立存取控制規則。例如，在以下政策中，您可以使用其各自的成本中心標記組織中的所有資源。您也可以使用單一許可集，授予開發人員存取其成本中心資源的權限。現在，每當開發人員使用單一登入及其成本中心屬性聯合到帳戶時，他們只能存取其各自成本中心中的資源。當團隊為其專案新增更多開發人員和資源時，您只需使用正確的成本中心標記資源。然後在開發人員聯合時，在 AWS 工作階段中傳遞成本中心資訊 AWS 帳戶。因此，隨著組織將新資源和開發人員新增至成本中心，開發人員可以管理與其成本中心一致的資源，而不需要任何許可更新。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}
```

------

當使用者 AWS 帳戶 透過 IAM Identity Center 聯合到 時，設定的存取控制屬性會以工作階段標籤的形式傳遞。您可以使用 `aws:PrincipalTag/{{tag-key}}`條件金鑰，在政策中參考這些工作階段標籤。您可以在其中使用條件的所有相關 AWS IAM 政策類型中支援此條件金鑰，包括身分型政策、資源型政策、許可界限、服務控制政策 SCPs) 和 VPC 端點政策。這可讓您根據整個 AWS 環境中的使用者屬性，做出精細的存取控制決策。

如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) 和 [EC2：根據相符的主體和資源標籤啟動或停止執行個體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2-start-stop-match-tags.html)。

如果政策在其條件中包含無效的屬性，則政策條件將會失敗並拒絕存取。如需詳細資訊，請參閱[錯誤 「使用者嘗試使用外部身分提供者登入時發生非預期錯誤」](troubleshooting.md#issue8)。