IAM 身份中心-ABAC概述和配置流程:ABAC配置流程

时间：2024-08-14 05:05:48

ABAC配置流程

如下表格包括准备华为云资源和配置 IAM 身份中心以进行ABAC访问控制所需的操作，使用ABAC需完成此表格中的各项操作。

表1 ABAC配置流程
步骤	说明	参考文档
为资源添加标签	要在IAM身份中心中实施ABAC，您首先要为需要实施ABAC的资源添加标签。资源标签的值要与用户属性设置一致，这样才能在权限策略中匹配成功，从而使访问控制策略生效。例如您需要使用用户的用户名属性进行访问控制，用户的用户名为“User1”，那么您给资源添加的标签值也需为“User1”。	为云资源添加标签
配置身份源	IAM身份中心当前支持两种身份源：IAM身份中心和外部身份提供商。两种身份源的用户属性均支持实施ABAC，您可以在IAM身份中心切换两种身份源。	更改身份源
在IAM身份中心启用并配置ABAC	IAM身份中心身份源：在IAM身份中心控制台启用ABAC，并添加用于ABAC的用户属性。外部身份提供商身份源：首先在IAM身份中心控制台启用ABAC，然后您可以在IAM身份中心配置ABAC，还可以在外部身份提供商处配置。	启用和配置访问控制属性
为ABAC创建权限策略	在权限集中创建自定义身份策略，并使用访问控制属性创建ABAC相关规则，用于控制用户只能访问带有匹配标签的资源。您在上一步中添加的用户属性用作访问控制决策的标签，您可以使用“PrincipalTag/key”条件键引用权限策略中的访问控制属性。	为ABAC创建权限策略
账号关联用户/组和权限集	将相关账号和IAM身份中心用户与上一步创建的权限集关联，这样用户登录用户门户访问关联账号下的资源时，只能访问基于用户属性匹配标签的资源。	账号关联用户/组和权限集
用户登录并访问资源	完成以上步骤后，关联相关账号和权限集的IAM身份中心用户登录用户门户，将根据匹配的用户属性获得相应资源的访问权限。	用户登录并访问资源