搜索

3.13. STS 中基于属性访问控制(ABAC)的会话标签

download PDF

会话标签是键值对,可在生成用户时传递。它们作为 aws:PrincipalTag 在会话中传递,或者由安全令牌服务(STS)返回的临时凭证。这些主体标签由会话标签组成,这些标签作为 web 令牌的一部分以及附加到所假定角色的标签组成。

注意

目前,会话标签仅支持作为传递给 AssumeRoleWithWebIdentity 的 web 令牌的一部分。

标签必须始终在以下命名空间中指定: https://aws.amazon.com/tags

重要

如果联合用户传递的 web 令牌包含会话标签,则信任策略必须具有 sts:TagSession 权限。否则,AssumeRoleWithWebIdentity 操作会失败。

带有 sts:TagSession 的信任策略示例:

{
        "Version":"2012-10-17",
        "Statement":[
        {
            "Effect":"Allow",
            "Action":["sts:AssumeRoleWithWebIdentity","sts:TagSession"],
            "Principal":{"Federated":["arn:aws:iam:::oidc-provider/localhost:8080/auth/realms/quickstart"]},
            "Condition":{"StringEquals":{"localhost:8080/auth/realms/quickstart:sub":"test"}}
        }]
    }

Properties

以下是会话标签的属性:

  • 会话标签可以是多值。

    注意

    Amazon Web Service (AWS)不支持多值的会话标签。

  • Keycloak 可以设置为最多 50 个会话标签的 OpenID Connect 身份提供程序(IDP)。
  • 允许键的最大大小为 128 个字符。
  • 允许的值是 256 个字符的最大值。
  • 标签或值不能以 aws: 开头。

其它资源

3.13.1. 标签键

以下是可在角色信任策略或角色权限策略中使用的标签键。

aws:RequestTag
Description

将请求中传递的键值对与角色信任策略中的键值对进行比较。

如果 AssumeRoleWithWebIdentity,会话标签可以在角色信任策略中用作 aws:RequestTag。这些会话标签由 web 令牌中的 Keycloak 传递。因此,联合用户可以假定角色。

aws:PrincipalTag
Description

将附加到主体的键值对与策略中的键值对进行比较。

如果 AssumeRoleWithWebIdentity,当一个用户通过身份验证后,会话标签会在临时凭证中显示为主体标签。这些会话标签由 web 令牌中的 Keycloak 传递。在角色权限策略中,它们可以用作 aws:PrincipalTag

iam:ResourceTag
Description

将附加到资源的键值对与策略中的键值对进行比较。

如果 AssumeRoleWithWebIdentity,附加到该角色的标签与信任策略中的标签进行比较,以便用户假定角色。

注意

Ceph 对象网关现在支持 RESTful API 在角色上进行标记、列出标签和取消标记操作。

aws:TagKeys
Description

将请求中的标签与策略中的标签进行比较。

对于 AssumeRoleWithWebIdentity,标签用于检查角色信任策略或权限策略中的标签键,然后再允许用户假定角色。

s3:ResourceTag
Description

将 S3 资源中存在的标签与角色权限策略中的标签进行比较,即 bucket 或对象。

它可用于在 Ceph 对象网关中授权 S3 操作。但是,AWS 中不允许这样做。

它是用于引用附加到对象或 bucket 的标签的关键。可以使用可用于相同功能的 RESTful API,将标签附加到对象或 bucket。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.