AWS支援外部身份系统以使用者属性存取资源

AWS扩大支援以属性作为基础的存取控制（Attribute-Based Access Control，ABAC），用户现在可以在AWS对话（Session）中传递使用者属性，把外部身份系统中定义的属性，用作AWS内部ABAC的一部分。

不少系统皆提供基于角色的存取控制（Role-Based Access Control，RBAC），这是一种限制系统仅供被授权使用者存取资源的方法，在RBAC中，用户定义资源的存取权限，并把这些权限分组成政策，企业中的角色会被赋予这些政策，而角色会被指定给诸如人、伺服器或是应用程式等实体。

但AWS提到，複杂的资源使RBAC难以被扩展，在新资源添加到系统之后，系统管理员必须要将新资源权限新增到所有相关的政策，但是当系统中存在上千种资源与上千种政策时，这个工作变得困难，当用户或是应用程式被授与了不必要的权限，系统管理员也难以验证权限配置的正确性。

为了在资源数量不断成长的情况下，简化系统管理员管理权限的工作，AWS提供了新兴管理典範ABAC，用户可以在政策中使用任何的属性，包括使用者属性、资源属性和环境属性等，政策可以使用IF...THEN来编写规则，像是IF用户属性角色是经理，THEN可以存取档案属性为机密的档案资源。

而现在AWS进一步宣布，当使用标準SAML（Security Assertion Markup Language），以外部身份提供者（IdP）提供的身份，联合（Federation）连线进AWS，则可以在AWS对话中传递用户属性，存取具相同属性的资源。外部身份系统的管理员可管理使用者属性，并在联合期间传递属性，这些属性称为对话标籤，对话标籤是临时标籤，仅在联合期间有效。

要于AWS的ABAC上使用外部身份提供者，流程如下图，蓝、黄和绿代表三个不同的成本中心（Cost Center），企业可以用成本中心的标籤标记所有专案资源，系统管理员可在外部身份系统的开发者对话中，加人成本中心标籤，如此，只有具有相同成本中心标籤值的连线，才能存取对应的标籤的资源。

当用户需要变更存取不同标籤的资源，则系统管理员只要更新外部身份系统连线的标籤，在AWS中不需要进行额外更改授权的动作，AWS就会根据外部连线的标籤，自动应用新的存取授权。AWS现在已经与Auth0、ForgeRock和IBM等多家企业的身份系统合作，确保系统对话的属性正确，而对于其他身份供应商来说，只要是使用标準SAML 2.0和OpenID Connect，也都可以配置对话标籤。