屬性存取控制（ABAC）為何？

簡稱ABAC, Attribute-based Access Control，中文譯為屬性存取控制，其核心概念為以用戶（or Subject）的屬性，來落實存取控制的管理，譬如像是工作職位、層級、單位、部門、參與專案、以及各種其他的特徵，都可以被用來當作判斷的屬性。

ABAC可以說是建立在MAC、DAC、以及角色存取控制（RBAC）的基礎之上所建立的進階版本，最初於國家標準暨技術研究院在2014年所出版的說明書中提出，聚焦在ABAC這一技術應該如何落實。

舉個例子來說，假設現在組織正在進行Delta專案，而為了完成這一專案，專案團隊決定聘用一個第三方團隊參與Delta專案，而因為現在公司在讓外部的工程師擁有工程系統與專案資料的權限，這時候在RBAC的環境中，IT就需要指派多個角色、抑或是創造一個獨立的角色給這一外部團隊，讓其能夠訪問相關檔案，但不會有權限進入到其他不相關的檔案。

然而以上的過程往往非常耗時，而且容易出錯，而這就是ABAC能夠派上用場的時候了。在ABAC的環境中，我們僅需要定義其相應的屬性，譬如「外部團隊」、「工程師」、「Delta專案」，而相關的檔案在滿足條件時即能被存取。而現在如果有一個新的團隊，同樣也是外部的工程師，但是是參與Alpha專案，那麼他就沒有滿足檔案開啟的條件，故此不會讓該參與Alpha專案的工程團隊存取。

而對於外部團隊的工程主管來說，我們也只需要在屬性上，多增加一個主管職位，那麼他在閱覽檔案的權限就可以更大；而對於擁有某些執照的人員來說，相應的，也會有權限去使用相關的系統與工具。

而不僅是用戶本身的屬性，像是現在是否是上班時間、該用戶的IP地點、以及使用的裝置等，都可以是屬性存取控制能設定用來判斷的指標。