启用和配置访问控制属性
操作场景
在任一身份源中实施ABAC,首先都需在IAM身份中心启用访问控制属性功能,并在其中添加需要在权限集策略中使用的用户属性来控制用户对资源的访问权限。可添加的用户属性如用户的基本信息、联系方式、工作相关信息和地址信息等。当前支持实施ABAC的用户属性请参见支持配置的用户属性。
例如您要根据用户的用户名分配其对组织资源的访问权限,您可以在“访问控制属性”页面上添加用户名属性用于ABAC。然后在IAM身份中心的权限集中添加一个自定义身份策略,该策略仅在用户的用户名与您分配给组织资源的标签值匹配时才授予用户访问权限。关于ABAC相关自定义策略的详细信息请参见:为ABAC创建权限策略。
对于不同的身份源实施ABAC的差异如下:
- 当使用IAM身份中心作为身份源时, 您需要在IAM身份中心的“访问控制属性”页面添加实施ABAC的属性。
- 当使用外部身份提供商作为身份源时,有如下两种方法可以添加实施ABAC的属性。
- 在外部身份提供商处添加ABAC属性。您可以将外部身份提供商配置为通过SAML断言发送属性,在这种情况下,IAM身份中心将获取来自外部身份提供商传递的属性键和属性值用于策略评估。具体配置请参考外部身份提供商文档的相关内容。
通过SAML断言传递的属性在IAM身份中心的“访问控制属性”页面不可见,您必须提前了解这些属性,并在创建权限策略时将其添加到访问控制规则中。
- 在IAM身份中心的“访问控制属性”页面配置ABAC属性。如果在IAM身份中心和外部身份提供商处设置的ABAC属性相同,则优先以IAM身份中心设置的属性进行访问控制决策。
- 在外部身份提供商处添加ABAC属性。您可以将外部身份提供商配置为通过SAML断言发送属性,在这种情况下,IAM身份中心将获取来自外部身份提供商传递的属性键和属性值用于策略评估。具体配置请参考外部身份提供商文档的相关内容。
本章节仅体现IAM身份中心的相关操作,外部身份提供商处的操作请参考外部身份提供商的相关文档。
启用访问控制属性
- 登录华为云控制台。
- 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
- 单击左侧导航栏的“设置”,进入设置页面。
- 在“访问控制属性”页签中单击“启用”。
图1 启用访问控制属性
配置访问控制属性
启用访问控制属性功能后,您需要添加属性键和属性值用于访问控制,最多可以添加20个属性。
- 登录华为云控制台。
- 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
- 单击左侧导航栏的“设置”,进入设置页面。
- 在“访问控制属性”页签中单击“添加”。
- 在弹出的配置框中添加用于访问控制的用户属性键和属性值。
- 属性键:表示您为用户属性指定的名称,以便在权限策略中使用,仅支持输入单值。
您可以输入任意名称,后续在权限集中编写自定义身份策略时需使用该名称。例如您将属性键设置为“User_A”, 则自定义身份策略中的PrincipalTag条件键也需设置为“User_A”,即"g:ResourceTag/tag-key": "${g:PrincipalTag/User_A}"。
- 属性值:表示用户属性的类型,您可以在下拉框中选择需进行访问控制的用户属性类型。
例如您选择${user:name},就表示使用用户的用户名进行访问控制,也就是在授权时会将用户名与资源标签的值进行匹配校验。当前支持的用户属性请参见支持配置的用户属性。
图2 添加访问控制属性
- 属性键:表示您为用户属性指定的名称,以便在权限策略中使用,仅支持输入单值。
- 配置完成后单击“确定”。
现在您已经启用并配置访问控制属性,接下来需在权限集中添加ABAC的自定义身份策略,具体请参见:为ABAC创建权限策略。
编辑/删除访问控制属性
访问控制属性添加完成后,您可以根据需要随时修改和删除它们。
- 登录华为云控制台。
- 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
- 单击左侧导航栏的“设置”,进入设置页面。
- 选择“访问控制属性”页签,在列表中的操作列单击“编辑”。
- 在弹出的配置框中修改属性键或属性值,修改完成后单击“确定”。
图3 编辑控制访问属性
- 在列表中的操作列单击“删除”,在弹出的确认框中单击“确定”,单个访问控制属性删除完成。
图4 单个删除访问控制属性
- 在列表中勾选需要删除的多个属性,单击列表上方的“删除”,在弹出的确认框中单击“确定”,多个访问控制属性批量删除完成。
图5 批量删除访问控制属性
禁用访问控制属性
如您不再需要使用ABAC功能,您可以随时禁用此功能,禁用访问控制属性将删除所有已配置的属性,且不可恢复,请谨慎操作。
- 登录华为云控制台。
- 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
- 单击左侧导航栏的“设置”,进入设置页面。
- 在“访问控制属性”页签中单击“禁用”。
- 在“禁用访问控制属性”确认框中,仔细阅读页面中禁用此功能的影响说明,确认清楚后在下方输入“删除”,然后单击“确定”。
图6 禁用访问控制属性