Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für das AWS IAM Identity Center-Verzeichnis (Nachfolger von Single Sign-On) AWS
AWS Das IAM Identity Center-Verzeichnis (Nachfolger von AWS Single Sign-On) (Dienstpräfix:sso-directory) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM-Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigen Sie eine Liste der API-Operationen an, die für diesen Service verfügbar sind.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Aktionen, die im AWS IAM Identity Center-Verzeichnis (Nachfolger von Single Sign-On) definiert sind AWS
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AddMemberToGroup | Erteilt die Berechtigung, einer Gruppe in dem Verzeichnis, das AWS IAM Identity Center standardmäßig bereitstellt, ein Mitglied hinzuzufügen | Schreiben | |||
| CompleteVirtualMfaDeviceRegistration | Gewährt die Berechtigung zum Abschließen des Erstellungsprozesses eines virtuellen MFA-Geräts | Schreiben | |||
| CompleteWebAuthnDeviceRegistration | Erteilt die Erlaubnis, den Registrierungsprozess eines WebAuthn Geräts abzuschließen | Schreiben | |||
| CreateAlias | Erteilt die Berechtigung, einen Alias für das Verzeichnis zu erstellen, das AWS IAM Identity Center standardmäßig bereitstellt | Schreiben | |||
| CreateBearerToken | Gewährt die Berechtigung zum Erstellen eines Bearer-Tokens für einen bestimmten Bereitstellungsmandanten | Write | |||
| CreateExternalIdPConfigurationForDirectory | Gewährt die Berechtigung zum Erstellen einer Konfiguration für einen externen Identitätsanbieter für das Verzeichnis | Schreiben | |||
| CreateGroup | Erteilt die Berechtigung zum Erstellen einer Gruppe in dem Verzeichnis, das AWS IAM Identity Center standardmäßig bereitstellt | Schreiben | |||
| CreateProvisioningTenant | Gewährt die Berechtigung zum Erstellen eines Bereitstellungsmandanten für ein bestimmtes Verzeichnis | Schreiben | |||
| CreateUser | Erteilt die Berechtigung, einen Benutzer in dem Verzeichnis zu erstellen, das AWS IAM Identity Center standardmäßig bereitstellt | Schreiben | |||
| DeleteBearerToken | Gewährt die Berechtigung zum Löschen eines Inhaber-Tokens | Write | |||
| DeleteExternalIdPCertificate | Gewährt die Berechtigung zum Löschen des angegebenen externen IdP-Zertifikats | Write | |||
| DeleteExternalIdPConfigurationForDirectory | Gewährt die Berechtigung zum Löschen einer Konfiguration für einen externen Identitätsanbieter, die dem Verzeichnis zugeordnet ist | Schreiben | |||
| DeleteGroup | Erteilt die Berechtigung zum Löschen einer Gruppe aus dem Verzeichnis, das AWS IAM Identity Center standardmäßig bereitstellt | Schreiben | |||
| DeleteMfaDeviceForUser | Gewährt die Berechtigung zum Löschen eines MFA-Geräts nach Gerätenamen für einen bestimmten Benutzer | Write | |||
| DeleteProvisioningTenant | Gewährt die Berechtigung zum Löschen des Bereitstellungsmandanten | Schreiben | |||
| DeleteUser | Erteilt die Berechtigung, einen Benutzer aus dem Verzeichnis zu löschen, das AWS IAM Identity Center standardmäßig bereitstellt | Schreiben | |||
| DescribeDirectory | Erteilt die Berechtigung zum Abrufen von Informationen über das Verzeichnis, das AWS IAM Identity Center standardmäßig bereitstellt | Lesen | |||
| DescribeGroup | Gewährt die Berechtigung zum Abfragen der Gruppendaten, einschließlich Benutzer- und Gruppenmitgliedern | Lesen | |||
| DescribeGroups | Erteilt die Berechtigung zum Abrufen von Informationen über Gruppen aus dem Verzeichnis, das AWS IAM Identity Center standardmäßig bereitstellt | Lesen | |||
| DescribeProvisioningTenant | Gewährt die Erlaubnis zur Beschreibung des bereitstellenden Mieters | Lesen | |||
| DescribeUser | Erteilt die Berechtigung zum Abrufen von Informationen über einen Benutzer aus dem Verzeichnis, das AWS IAM Identity Center standardmäßig bereitstellt | Lesen | |||
| DescribeUserByUniqueAttribute | Gewährt die Berechtigung, Benutzer mit einem gültigen eindeutigen Attribut zu beschreiben, das für den Benutzer dargestellt wird | Lesen | |||
| DescribeUsers | Erteilt die Berechtigung, Informationen über einen Benutzer aus dem Verzeichnis abzurufen, das AWS IAM Identity Center standardmäßig bereitstellt | Lesen | |||
| DisableExternalIdPConfigurationForDirectory | Gewährt die Berechtigung zum Deaktivieren der Authentifizierung von Endbenutzern mit einem externen Identitätsanbieter. | Schreiben | |||
| DisableUser | Erteilt die Berechtigung, einen Benutzer in dem Verzeichnis zu deaktivieren, das AWS IAM Identity Center standardmäßig bereitstellt | Schreiben | |||
| EnableExternalIdPConfigurationForDirectory | Gewährt die Berechtigung zur Authentifizierung von Endbenutzern mit einem externen Identitätsanbieter | Schreiben | |||
| EnableUser | Erteilt die Berechtigung, Benutzer in dem Verzeichnis zu aktivieren, das AWS IAM Identity Center standardmäßig bereitstellt | Schreiben | |||
| GetAWSSPConfigurationForDirectory | Erteilt die Berechtigung zum Abrufen der AWS IAM Identity Center Service Provider-Konfigurationen für das Verzeichnis | Lesen | |||
| GetGroupId | Erteilt die Berechtigung zum Abrufen von ID-Informationen über Gruppen aus dem Verzeichnis, das AWS IAM Identity Center standardmäßig bereitstellt | Lesen | |||
| GetUserId | Erteilt die Berechtigung zum Abrufen von ID-Informationen über Benutzer aus dem Verzeichnis, das AWS IAM Identity Center standardmäßig bereitstellt | Lesen | |||
| GetUserPoolInfo | (Veraltet) Erteilt die Berechtigung zum Abrufen von Informationen UserPool | Lesen | |||
| ImportExternalIdPCertificate | Gewährt die Berechtigung zum Importieren des IdP-Zertifikats, das zum Überprüfen externer IdP-Antworten verwendet wird | Schreiben | |||
| IsMemberInGroup | Erteilt die Berechtigung, zu überprüfen, ob ein Mitglied Teil der Gruppe in dem Verzeichnis ist, das AWS IAM Identity Center standardmäßig bereitstellt | Lesen | |||
| IsMemberInGroups | Erteilt die Berechtigung, zu überprüfen, ob ein Mitglied Teil mehrerer Gruppen in dem Verzeichnis ist, das AWS IAM Identity Center standardmäßig bereitstellt | Lesen | |||
| ListBearerTokens | Gewährt die Berechtigung zum Auflisten von Bearer-Token für einen bestimmten Bereitstellungsmandanten | Read | |||
| ListExternalIdPCertificates | Gewährt die Berechtigung zum Auflisten der externen Identitätsanbieterzertifikate eines bestimmten Verzeichnisses und Identitätsanbieters | Read | |||
| ListExternalIdPConfigurationsForDirectory | Gewährt die Berechtigung zum Auflisten aller für das Verzeichnis erstellten Konfigurationen für externe Identitätsanbieter | Lesen | |||
| ListGroups | Erteilt die Berechtigung, Gruppen aus dem Verzeichnis aufzulisten, das AWS IAM Identity Center standardmäßig bereitstellt | Lesen | |||
| ListGroupsForMember | Gewährt die Berechtigung zum Auflisten von Gruppen des Zielmitglieds | Lesen | |||
| ListGroupsForUser | Erteilt einem Benutzer die Berechtigung, Gruppen aus dem Verzeichnis aufzulisten, das AWS IAM Identity Center standardmäßig bereitstellt | Lesen | |||
| ListMembersInGroup | Erteilt die Berechtigung zum Abrufen aller Mitglieder, die Teil einer Gruppe in dem Verzeichnis sind, das AWS IAM Identity Center standardmäßig bereitstellt | Lesen | |||
| ListMfaDevicesForUser | Gewährt die Berechtigung zum Auflisten aller aktiven MFA-Geräte und ihrer MFA-Gerätemetadaten für einen Benutzer | Read | |||
| ListProvisioningTenants | Gewährt die Berechtigung zum Auflisten von Bereitstellungsmandanten für ein bestimmtes Verzeichnis | Lesen | |||
| ListUsers | Erteilt die Berechtigung, Benutzer aus dem Verzeichnis aufzulisten, das AWS IAM Identity Center standardmäßig bereitstellt | Lesen | |||
| RemoveMemberFromGroup | Erteilt die Berechtigung, ein Mitglied zu entfernen, das Teil einer Gruppe in dem Verzeichnis ist, das AWS IAM Identity Center standardmäßig bereitstellt | Schreiben | |||
| SearchGroups | Gewährt die Berechtigung zur Suche nach Gruppen innerhalb des zugeordneten Verzeichnisses | Read | |||
| SearchUsers | Gewährt die Berechtigung zur Suche nach Benutzern innerhalb des zugeordneten Verzeichnisses | Read | |||
| StartVirtualMfaDeviceRegistration | Gewährt die Berechtigung zum Starten des Erstellungsprozesses eines virtuellen MFA-Geräts | Schreiben | |||
| StartWebAuthnDeviceRegistration | Erteilt die Erlaubnis, mit dem Registrierungsprozess eines WebAuthn Geräts zu beginnen | Schreiben | |||
| UpdateExternalIdPConfigurationForDirectory | Gewährt die Berechtigung zum Aktualisieren einer mit dem Verzeichnis verknüpften Konfiguration für externe Identitätsanbieter | Schreiben | |||
| UpdateGroup | Erteilt die Berechtigung, Informationen über eine Gruppe in dem Verzeichnis zu aktualisieren, das AWS IAM Identity Center standardmäßig bereitstellt | Schreiben | |||
| UpdateGroupDisplayName | Gewährt die Berechtigung zum Aktualisieren der Antwort auf Anzeigenamen für Gruppennamen | Write | |||
| UpdateMfaDeviceForUser | Gewährt die Berechtigung, MFA-Geräteinformationen zu aktualisieren | Schreiben | |||
| UpdatePassword | Erteilt die Erlaubnis, ein Passwort zu aktualisieren, indem ein Link zum Zurücksetzen des Passworts per E-Mail gesendet oder ein Einmalpasswort für einen Benutzer in dem Verzeichnis generiert wird, das AWS IAM Identity Center standardmäßig bereitstellt | Schreiben | |||
| UpdateUser | Erteilt die Erlaubnis, Benutzerinformationen in dem Verzeichnis zu aktualisieren, das AWS IAM Identity Center standardmäßig bereitstellt | Schreiben | |||
| UpdateUserName | Gewährt die Berechtigung zum Aktualisieren der Antwort auf den Benutzernamen für den Benutzernamen | Write | |||
| VerifyEmail | Gewährt die Berechtigung zum Verifizieren der E-Mail-Adresse eines Benutzers | Schreiben |
Ressourcentypen, die durch das AWS IAM Identity Center-Verzeichnis (Nachfolger von AWS Single Sign-On) definiert sind
AWS Das IAM Identity Center-Verzeichnis (Nachfolger von AWS Single Sign-On) unterstützt die Angabe eines Ressourcen-ARN im Resource Element einer IAM-Richtlinienanweisung nicht. Um den Zugriff auf das AWS IAM Identity Center-Verzeichnis (Nachfolger von AWS Single Sign-On) zu ermöglichen, geben Sie dies in Ihrer Richtlinie an. "Resource": "*"
Bedingungsschlüssel für das AWS IAM Identity Center-Verzeichnis (Nachfolger von AWS Single Sign-On)
Das IAM Identity Center-Verzeichnis (Nachfolger von AWS SSO) hat keine dienstspezifischen Kontextschlüssel, die in Richtlinienerklärungen verwendet werden könnenCondition. Eine Liste der globalen Kontextschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare Schlüssel für Bedingungen.
