AWS支持外部身份系統以用戶屬性訪問資源

AWS擴大支持以屬性作為基礎的訪問控制（Attribute-Based Access Control，ABAC），用戶現在可以在AWS對話（Session）中傳遞用戶屬性，把外部身份系統中定義的屬性，用作AWS內部ABAC的一部分。

不少系統皆提供基於角色的訪問控制（Role-Based Access Control，RBAC），這是一種限制系統僅供被授權用戶訪問資源的方法，在RBAC中，用戶定義資源的訪問許可權，並把這些許可權分組成政策，企業中的角色會被賦給這些政策，而角色會被指定給諸如人、伺服器或是應用程序等實體。

但AWS提到，複雜的資源使RBAC難以被擴展，在新資源添加到系統之後，系統管理員必須要將新資源許可權添加到所有相關的政策，但是當系統中存在上千種資源與上千種政策時，這個工作變得困難，當用戶或是應用程序被授與了不必要的許可權，系統管理員也難以驗證許可權配置的正確性。

為了在資源數量不斷增長的情況下，簡化系統管理員管理許可權的工作，AWS提供了新興管理典範ABAC，用戶可以在政策中使用任何的屬性，包括用戶屬性、資源屬性和環境屬性等，政策可以使用IF…THEN來編寫規則，像是IF用戶屬性角色是經理，THEN可以訪問文件屬性為機密的文件資源。

而現在AWS進一步宣布，當使用標準SAML（Security Assertion Markup Language），以外部身份提供者（IdP）提供的身份，聯合（Federation）連接進AWS，則可以在AWS對話中傳遞用戶屬性，訪問具相同屬性的資源。外部身份系統的管理員可管理用戶屬性，並在聯合期間傳遞屬性，這些屬性稱為對話標籤，對話標籤是臨時標籤，僅在聯合期間有效。

要於AWS的ABAC上使用外部身份提供者，流程如下圖，藍、黃和綠代表三個不同的成本中心（Cost Center），企業可以用成本中心的標籤標記所有項目資源，系統管理員可在外部身份系統的開發者對話中，加人成本中心標籤，如此，只有具有相同成本中心標籤值的連接，才能訪問對應的標籤的資源。

當用戶需要變更訪問不同標籤的資源，則系統管理員只要更新外部身份系統連接的標籤，在AWS中不需要進行額外更改授權的動作，AWS就會根據外部連接的標籤，自動應用新的訪問授權。AWS現在已經與Auth0、ForgeRock和IBM等多家企業的身份系統合作，確保系統對話的屬性正確，而對於其他身份供應商來說，只要是使用標準SAML 2.0和OpenID Connect，也都可以配置對話標籤。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！