ABAC
属性ベースのアクセス制御(Atribute-based access control)は、IAMのポリシーベースのアクセス制御としても知られ、アクセス制御のパラダイムを定義している。このパラダイムでは、対象者が一連の操作を実行する権限が、対象者、オブジェクト、要求された操作、および場合によっては環境属性に関連付けられた属性を評価することによって決定される。
ABAC はアクセス制御ポリシーを実装する方法であり、適応性が高く、幅広い属性を使用してカスタマイズできるため、分散環境や急速に変化する環境での使用に適している。ABACで実装できるポリシーの唯一の制限は、計算言語の能力と関連する属性の利用可能性である。ABACポリシールールは、サブジェクトの属性、オブジェクトの属性、および環境の属性のブール関数として生成される。
ロール・ベースのアクセス制御(RBAC)とは異なり、ABAC は多くの異なる属性を評価できる複雑なルール・セットを表現できます。一貫したサブジェクトとオブジェクトの属性をセキュリティ・ポリシーに定義することで、ABAC以外のアクセス方式で必要とされる、個人のサブジェクトに対する明示的な権限付与が不要になり、アクセス・リストとグループの管理の複雑さが軽減される。
属性値には、セット値(set-valued)とアトミック値(atomic-valued)がある。セット値属性は、複数の原子値を含みます。例としてはroleやprojectがあります。原子値属性は、1つの原子値のみを含みます。例として、クリアランスと感度があります。属性は静的な値や互いに比較することができ、関係ベースのアクセス制御を可能にします。
この概念自体は何年も前から存在していたが、ABAC は「次世代」認可モデルと考えられている。なぜなら、ABAC は動的で、コンテキストを認識し、リスクを考慮したリソースへのアクセス制御を提供し、多くの異なる情報システムからの特定の属性を含むアクセス制御ポリシーを定義して認可を解決し、効率的な規制遵守を達成し、企業が既存のインフラに基づいて柔軟に実装できるようにするからである。
属性ベースのアクセス制御は、ポリシーベースのアクセス制御(PBAC)またはクレームベースのアクセス制御(CBAC)と呼ばれることもあるが、これはマイクロソフト固有の用語である。ABACを実装する主要な標準は、XACMLとALFA(XACML)である。
https://en.wikipedia.org/wiki/Attribute-based_access_control
アクセス制御のパラダイムなんだYudai.icon
複雑性を表現する