屬性存取控制(ABAC)

okmijn775

建立於 2026年03月10日

屬性存取控制（Attribute-Based Access Control, ABAC）是一種進階的動態授權模型，它依據用戶、資源、環境等屬性（Attribute）的組合，透過布林邏輯原則（Policies）來決定存取權限。相較於角色型存取控制（RBAC），ABAC 提供更細粒度、靈活且能即時適應變化的安全防護，適用於複雜的雲端與 IT 環境。 ABAC 的核心要素與機制： 四大屬性類型： 主體屬性（Subject）： 使用者身分、部門、職位、認證等級（如：職位=經理）。 資源屬性（Resource）： 檔案類型、擁有者、安全級別（如：檔案機密等級=高）。 環境屬性（Environment）： 時間、地點、IP 位址、裝置安全性。 操作屬性（Action）： 讀取、寫入、編輯、刪除。 決策機制： ABAC 使用「If (屬性條件) Then (允許/拒絕)」的策略原則，在每次存取時動態評估。 動態適應性： 若使用者部門變更或身處異地，權限會根據其屬性自動調整，無需手動變更角色。 ABAC 的優勢與應用情境： 細粒度控制： 可定義非常具體的規則（例如：只有「行銷部」員工在「上班時間」能從「公司網路」存取「客戶CRM系統」）。 降低複雜度： 避免了 RBAC 中為不同需求創建大量角色的問題，減少「角色爆炸」情形。 應用場景： 適用於資料保護、雲端服務存取（如 Azure/AWS）、API 安全與合規性要求高的場景。 總結來說，ABAC 是一種將權限管理從「你是誰」進化到「你滿足什麼條件」的更安全、更智慧的存取控制方式。