您的位置:首页 >数码 >

AWS支援外部身份系统以使用者属性存取资源

时间:2023-04-20 15:31:35 来源:[db:来源]

原标题:AWS支援外部身份系统以使用者属性存取资源

AWS扩大支援以属性作为基础的存取控制(Attribute-Based Access Control,ABAC),用户现在可以在AWS对话(Session)中传递使用者属性,把外部身份系统中定义的属性,用作AWS内部ABAC的一部分。

不少系统皆提供基于角色的存取控制(Role-Based Access Control,RBAC),这是一种限制系统仅供被授权使用者存取资源的方法,在RBAC中,用户定义资源的存取权限,并把这些权限分组成政策,企业中的角色会被赋予这些政策,而角色会被指定给诸如人、伺服器或是应用程式等实体。

但AWS提到,複杂的资源使RBAC难以被扩展,在新资源添加到系统之后,系统管理员必须要将新资源权限新增到所有相关的政策,但是当系统中存在上千种资源与上千种政策时,这个工作变得困难,当用户或是应用程式被授与了不必要的权限,系统管理员也难以验证权限配置的正确性。

为了在资源数量不断成长的情况下,简化系统管理员管理权限的工作,AWS提供了新兴管理典範ABAC,用户可以在政策中使用任何的属性,包括使用者属性、资源属性和环境属性等,政策可以使用IF...THEN来编写规则,像是IF用户属性角色是经理,THEN可以存取档案属性为机密的档案资源。

而现在AWS进一步宣布,当使用标準SAML(Security Assertion Markup Language),以外部身份提供者(IdP)提供的身份,联合(Federation)连线进AWS,则可以在AWS对话中传递用户属性,存取具相同属性的资源。外部身份系统的管理员可管理使用者属性,并在联合期间传递属性,这些属性称为对话标籤,对话标籤是临时标籤,仅在联合期间有效。

要于AWS的ABAC上使用外部身份提供者,流程如下图,蓝、黄和绿代表三个不同的成本中心(Cost Center),企业可以用成本中心的标籤标记所有专案资源,系统管理员可在外部身份系统的开发者对话中,加人成本中心标籤,如此,只有具有相同成本中心标籤值的连线,才能存取对应的标籤的资源。

当用户需要变更存取不同标籤的资源,则系统管理员只要更新外部身份系统连线的标籤,在AWS中不需要进行额外更改授权的动作,AWS就会根据外部连线的标籤,自动应用新的存取授权。AWS现在已经与Auth0、ForgeRock和IBM等多家企业的身份系统合作,确保系统对话的属性正确,而对于其他身份供应商来说,只要是使用标準SAML 2.0和OpenID Connect,也都可以配置对话标籤。


郑重声明:文章仅代表原作者观点,不代表本站立场;如有侵权、违规,可直接反馈本站,我们将会作修改或删除处理。