AWS verwaltete Richtlinien für Identity Center IAM - AWS IAM Identity Center
AWSSSOMasterAccountAdministratorAWSSSOMemberAccountAdministratorAWSSSODirectoryAdministratorAWSSSOReadOnlyAWSSSODirectoryReadOnlyAWSIdentitySyncFullAccessAWSIdentitySyncReadOnlyAccessAWSSSOServiceRolePolicyAWSIAMIdentityCenterAllowListForIdentityContextIAMIdentity Center aktualisiert AWS verwaltete Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für Identity Center IAM

Die Erstellung von IAM kundenverwalteten Richtlinien, die Ihrem Team nur die erforderlichen Berechtigungen gewähren, erfordert Zeit und Fachwissen. Um schnell loszulegen, können Sie AWS verwaltete Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.

AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und eine Beschreibung der Richtlinien für Jobfunktionen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien für Jobfunktionen.

Neue Aktionen, mit denen Sie Benutzersitzungen auflisten und löschen können, sind unter dem neuen Namespace identitystore-auth verfügbar. Alle zusätzlichen Berechtigungen für Aktionen in diesem Namespace werden auf dieser Seite aktualisiert. Vermeiden Sie beim Erstellen Ihrer benutzerdefinierten IAM Richtlinien die Verwendung von * after, identitystore-auth da dies für alle Aktionen gilt, die heute oder in future im Namespace existieren.

AWS verwaltete Richtlinie: AWSSSOMasterAccountAdministrator

Die AWSSSOMasterAccountAdministrator Richtlinie sieht die erforderlichen Verwaltungsmaßnahmen für die Schulleiter vor. Die Richtlinie richtet sich an Schulleiter, die die Rolle eines AWS IAM Identity Center Administrators ausüben. Im Laufe der Zeit wird die Liste der bereitgestellten Aktionen aktualisiert, sodass sie den vorhandenen Funktionen von IAM Identity Center und den Aktionen entspricht, die als Administrator erforderlich sind.

Sie können die AWSSSOMasterAccountAdministrator Richtlinie an Ihre IAM Identitäten anhängen. Wenn Sie die AWSSSOMasterAccountAdministrator Richtlinie an eine Identität anhängen, gewähren Sie AWS IAM Identity Center Administratorberechtigungen. Principals mit dieser Richtlinie können innerhalb des AWS Organizations Verwaltungskontos und aller Mitgliedskonten auf IAM Identity Center zugreifen. Dieser Principal kann alle IAM Identity Center-Operationen vollständig verwalten, einschließlich der Möglichkeit, eine IAM Identity Center-Instanz, Benutzer, Berechtigungssätze und Zuweisungen zu erstellen. Der Principal kann diese Zuweisungen auch für alle Mitgliedskonten der AWS Organisation instanziieren und Verbindungen zwischen AWS Directory Service verwalteten Verzeichnissen und IAM Identity Center herstellen. Sobald neue Verwaltungsfunktionen veröffentlicht werden, erhält der Kontoadministrator diese Berechtigungen automatisch.

Gruppierungen von Berechtigungen

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.

  • AWSSSOMasterAccountAdministrator— Ermöglicht IAM Identity Center, die benannte Servicerolle AWSServiceRoleforSSO an IAM Identity Center weiterzugeben, sodass es später die Rolle übernehmen und Aktionen in ihrem Namen ausführen kann. Dies ist erforderlich, wenn die Person oder Anwendung versucht, IAM Identity Center zu aktivieren. Weitere Informationen finden Sie unter AWS-Konto Zugang.

  • AWSSSOMemberAccountAdministrator— Ermöglicht IAM Identity Center, Kontoadministratoraktionen in einer AWS Umgebung mit mehreren Konten durchzuführen. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: AWSSSOMemberAccountAdministrator.

  • AWSSSOManageDelegatedAdministrator— Ermöglicht IAM Identity Center die Registrierung und Abmeldung eines delegierten Administrators für Ihre Organisation.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter AWSSSOMasterAccountAdministratorReferenz für AWS verwaltete Richtlinien.

Zusätzliche Informationen zu dieser Richtlinie

Wenn IAM Identity Center zum ersten Mal aktiviert wird, erstellt der IAM Identity Center-Dienst eine dienstbezogene Rolle im AWS Organizations Verwaltungskonto (früher Hauptkonto), sodass IAM Identity Center die Ressourcen in Ihrem Konto verwalten kann. Die erforderlichen Aktionen sind iam:CreateServiceLinkedRole undiam:PassRole, die in den folgenden Ausschnitten dargestellt werden.

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "AWSSSOCreateSLR",
      "Effect" : "Allow",
      "Action" : "iam:CreateServiceLinkedRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:AWSServiceName" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMasterAccountAdministrator",
      "Effect" : "Allow",
      "Action" : "iam:PassRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:PassedToService" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMemberAccountAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "ds:DescribeTrusts",
        "ds:UnauthorizeApplication",
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "iam:ListPolicies",
        "organizations:EnableAWSServiceAccess",
        "organizations:ListRoots",
        "organizations:ListAccounts",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListAccountsForParent",
        "organizations:DescribeOrganization",
        "organizations:ListChildren",
        "organizations:DescribeAccount",
        "organizations:ListParents",
        "organizations:ListDelegatedAdministrators",
        "sso:*",
        "sso-directory:*",
        "identitystore:*",
        "identitystore-auth:*",
        "ds:CreateAlias",
        "access-analyzer:ValidatePolicy",
        "signin:CreateTrustedIdentityPropagationApplicationForConsole",
        "signin:ListTrustedIdentityPropagationApplicationsForConsole"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "AWSSSOManageDelegatedAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "organizations:ServicePrincipal" : "sso.amazonaws.com"
        }
      }
      },
      {
         "Sid": "AllowDeleteSyncProfile",
         "Effect": "Allow",
         "Action": [
                  "identity-sync:DeleteSyncProfile"
         ],
         "Resource": [
                  "arn:aws:identity-sync:*:*:profile/*"
         ]
    }
  ]
}

AWS verwaltete Richtlinie: AWSSSOMemberAccountAdministrator

Die AWSSSOMemberAccountAdministrator Richtlinie sieht die erforderlichen Verwaltungsmaßnahmen für die Schulleiter vor. Die Richtlinie richtet sich an Prinzipale, die die Rolle eines IAM Identity Center-Administrators ausüben. Im Laufe der Zeit wird die Liste der bereitgestellten Aktionen aktualisiert, sodass sie der bestehenden Funktionalität von IAM Identity Center und den Aktionen entspricht, die als Administrator erforderlich sind.

Sie können die AWSSSOMemberAccountAdministrator Richtlinie an Ihre IAM Identitäten anhängen. Wenn Sie die AWSSSOMemberAccountAdministrator Richtlinie an eine Identität anhängen, gewähren Sie AWS IAM Identity Center Administratorberechtigungen. Principals mit dieser Richtlinie können innerhalb des AWS Organizations Verwaltungskontos und aller Mitgliedskonten auf IAM Identity Center zugreifen. Dieser Principal kann alle IAM Identity Center-Operationen vollständig verwalten, einschließlich der Möglichkeit, Benutzer, Berechtigungssätze und Zuweisungen zu erstellen. Der Principal kann diese Zuweisungen auch in allen Mitgliedskonten der AWS Organisation instanziieren und Verbindungen zwischen AWS Directory Service verwalteten Verzeichnissen und IAM Identity Center herstellen. Sobald neue Verwaltungsfunktionen veröffentlicht werden, erhält der Kontoadministrator diese Berechtigungen automatisch.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter AWSSSOMemberAccountAdministratorReferenz für AWS verwaltete Richtlinien.

Zusätzliche Informationen zu dieser Richtlinie

IAMIdentity Center-Administratoren verwalten Benutzer, Gruppen und Passwörter in ihrem Identity Center-Verzeichnisspeicher (sso-Verzeichnis). Die Rolle des Kontoadministrators umfasst Berechtigungen für die folgenden Aktionen:

  • "sso:*"

  • "sso-directory:*"

IAMIdentity Center-Administratoren benötigen eingeschränkte Berechtigungen für die folgenden AWS Directory Service Aktionen, um tägliche Aufgaben ausführen zu können.

  • "ds:DescribeTrusts"

  • "ds:UnauthorizeApplication"

  • "ds:DescribeDirectories"

  • "ds:AuthorizeApplication"

  • “ds:CreateAlias”

Diese Berechtigungen ermöglichen es IAM Identity Center-Administratoren, vorhandene Verzeichnisse zu identifizieren und Anwendungen zu verwalten, sodass sie für die Verwendung mit IAM Identity Center konfiguriert werden können. Weitere Informationen zu jeder dieser Aktionen finden Sie unter AWS Directory Service APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

IAMIdentity Center verwendet IAM Richtlinien, um IAM Identity Center-Benutzern Berechtigungen zu gewähren. IAMIdentity Center-Administratoren erstellen Berechtigungssätze und fügen ihnen Richtlinien hinzu. Der IAM Identity Center-Administrator muss über die erforderlichen Berechtigungen verfügen, um die vorhandenen Richtlinien aufzulisten, sodass er auswählen kann, welche Richtlinien mit dem Berechtigungssatz verwendet werden sollen, den er gerade erstellt oder aktualisiert. Um sichere und funktionale Berechtigungen festzulegen, muss der IAM Identity Center-Administrator über die erforderlichen Berechtigungen verfügen, um die IAM Access Analyzer-Richtlinienvalidierung durchzuführen.

  • "iam:ListPolicies"

  • "access-analyzer:ValidatePolicy"

IAMIdentity Center-Administratoren benötigen eingeschränkten Zugriff auf die folgenden AWS Organizations Aktionen, um tägliche Aufgaben ausführen zu können:

  • "organizations:EnableAWSServiceAccess"

  • "organizations:ListRoots"

  • "organizations:ListAccounts"

  • "organizations:ListOrganizationalUnitsForParent"

  • "organizations:ListAccountsForParent"

  • "organizations:DescribeOrganization"

  • "organizations:ListChildren"

  • "organizations:DescribeAccount"

  • "organizations:ListParents"

  • "organizations:ListDelegatedAdministrators"

  • "organizations:RegisterDelegatedAdministrator"

  • "organizations:DeregisterDelegatedAdministrator"

Diese Berechtigungen ermöglichen es IAM Identity Center-Administratoren, mit Unternehmensressourcen (Konten) für grundlegende IAM Identity Center-Verwaltungsaufgaben wie die folgenden zu arbeiten:

  • Identifizieren des Verwaltungskontos, das zu der Organisation gehört

  • Identifizierung der Mitgliedskonten, die zur Organisation gehören

  • Aktivieren des AWS Servicezugriffs für Konten

  • Einen delegierten Administrator einrichten und verwalten

Weitere Informationen zur Verwendung eines delegierten Administrators mit IAM Identity Center finden Sie unter. Delegierte Verwaltung Weitere Informationen zur Verwendung dieser Berechtigungen mit finden Sie AWS Organizations unter Verwendung AWS Organizations mit anderen AWS Diensten.

AWS verwaltete Richtlinie: AWSSSODirectoryAdministrator

Sie können die AWSSSODirectoryAdministrator Richtlinie an Ihre IAM Identitäten anhängen.

Diese Richtlinie gewährt Administratorberechtigungen für IAM Identity Center-Benutzer und -Gruppen. Principals, denen diese Richtlinie beigefügt ist, können alle Aktualisierungen für IAM Identity Center-Benutzer und -Gruppen vornehmen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter AWSSSODirectoryAdministratorReferenz für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSSSOReadOnly

Sie können die AWSSSOReadOnly Richtlinie an Ihre IAM Identitäten anhängen.

Diese Richtlinie gewährt Benutzern nur Leseberechtigungen, die es Benutzern ermöglichen, Informationen in IAM Identity Center einzusehen. Principals, denen diese Richtlinie zugewiesen ist, können die IAM Identity Center-Benutzer oder -Gruppen nicht direkt einsehen. Principals, denen diese Richtlinie beigefügt ist, können keine Aktualisierungen in IAM Identity Center vornehmen. Principals mit diesen Berechtigungen können beispielsweise die IAM Identity Center-Einstellungen einsehen, aber keinen der Einstellungswerte ändern.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter AWSSSOReadOnlyReferenz für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSSSODirectoryReadOnly

Sie können die AWSSSODirectoryReadOnly Richtlinie an Ihre IAM Identitäten anhängen.

Diese Richtlinie gewährt nur Leseberechtigungen, die es Benutzern ermöglichen, Benutzer und Gruppen in IAM Identity Center einzusehen. Principals, denen diese Richtlinie zugewiesen ist, können IAM Identity Center-Zuweisungen, Berechtigungssätze, Anwendungen oder Einstellungen nicht einsehen. Principals, denen diese Richtlinie zugewiesen ist, können in IAM Identity Center keine Aktualisierungen vornehmen. Principals mit diesen Berechtigungen können beispielsweise IAM Identity Center-Benutzer anzeigen, aber sie können keine Benutzerattribute ändern oder Geräte zuweisenMFA.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter AWSSSODirectoryReadOnlyReferenz für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSIdentitySyncFullAccess

Sie können die AWSIdentitySyncFullAccess Richtlinie an Ihre IAM Identitäten anhängen.

Principals, denen diese Richtlinie beigefügt ist, verfügen über uneingeschränkte Zugriffsberechtigungen zum Erstellen und Löschen von Synchronisierungsprofilen, zum Zuordnen oder Aktualisieren eines Synchronisierungsprofils zu einem Synchronisierungsziel, zum Erstellen, Auflisten und Löschen von Synchronisierungsfiltern sowie zum Starten oder Beenden der Synchronisation.

Einzelheiten zu den Berechtigungen

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter Referenz AWSIdentitySyncFullAccesszu AWS verwalteten Richtlinien.

AWS verwaltete Richtlinie: AWSIdentitySyncReadOnlyAccess

Sie können die AWSIdentitySyncReadOnlyAccess Richtlinie an Ihre IAM Identitäten anhängen.

Diese Richtlinie gewährt nur Leseberechtigungen, mit denen Benutzer Informationen über das Profil, die Filter und die Zieleinstellungen für die Identitätssynchronisierung einsehen können. Prinzipale, denen diese Richtlinie zugewiesen ist, können die Synchronisierungseinstellungen nicht aktualisieren. Prinzipale mit diesen Berechtigungen können beispielsweise Einstellungen für die Identitätssynchronisierung einsehen, aber keine Profil- oder Filterwerte ändern.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter AWSIdentitySyncReadOnlyAccessReferenz für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSSSOServiceRolePolicy

Sie können die AWSSSOServiceRolePolicy Richtlinie nicht mit Ihren IAM Identitäten verknüpfen.

Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es IAM Identity Center ermöglicht, zu delegieren und durchzusetzen, welche Benutzer über Single Sign-On-Zugriff auf bestimmte Eingänge verfügen. AWS-Konten AWS Organizations Wenn Sie diese Funktion aktivierenIAM, wird in allen Bereichen Ihrer Organisation eine dienstbezogene Rolle erstellt. AWS-Konten IAMIdentity Center erstellt außerdem dieselbe dienstbezogene Rolle in jedem Konto, das anschließend zu Ihrer Organisation hinzugefügt wird. Mit dieser Rolle kann IAM Identity Center in Ihrem Namen auf die Ressourcen der einzelnen Konten zugreifen. Mit Diensten verknüpfte Rollen, die in jedem erstellt werden, AWS-Konto sind benanntAWSServiceRoleForSSO. Weitere Informationen finden Sie unter Verwendung von dienstbezogenen Rollen für IAM Identity Center.

AWS verwaltete Richtlinie: AWSIAMIdentityCenterAllowListForIdentityContext

Wenn Sie eine Rolle im IAM Identity Center-Identitätskontext übernehmen, hängt AWS Security Token Service (AWS STS) die AWSIAMIdentityCenterAllowListForIdentityContext Richtlinie automatisch an die Rolle an.

Diese Richtlinie enthält die Liste der Aktionen, die zulässig sind, wenn Sie Trusted Identity Propagation mit Rollen verwenden, die im IAM Identity Center-Identitätskontext übernommen werden. Alle anderen Aktionen, die in diesem Kontext aufgerufen werden, sind blockiert. Der Identitätskontext wird als übergebenProvidedContext.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter Referenz AWSIAMIdentityCenterAllowListForIdentityContextzu AWS verwalteten Richtlinien.

IAMIdentity Center aktualisiert AWS verwaltete Richtlinien

In der folgenden Tabelle werden die Aktualisierungen der AWS verwalteten Richtlinien für IAM Identity Center seit Beginn der Erfassung dieser Änderungen durch diesen Dienst beschrieben. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS Feed auf der IAM Identity Center-Dokumentverlaufsseite.

Änderung Beschreibung Datum
AWSIAMIdentityCenterAllowListForIdentityContext

Diese Richtlinie umfasst jetzt die qapps:ListQAppSessionData und qapps:ExportQAppSessionData Aktionen zur Unterstützung identitätsbewusster Konsolensitzungen für AWS verwaltete Anwendungen, die diese Sitzungen unterstützen.

 2. Oktober 2024
AWSSSOMasterAccountAdministrator

IAMIdentity Center hat eine neue Aktion hinzugefügt, mit der Sie DeleteSyncProfile Berechtigungen erteilen können, damit Sie diese Richtlinie zum Löschen von Synchronisationsprofilen verwenden können. Diese Aktion ist verknüpft mit DeleteInstance API.

 26. September 2024
AWSIAMIdentityCenterAllowListForIdentityContext

Diese Richtlinie umfasst jetzt die s3:ListCallerAccessGrants Aktion zur Unterstützung identitätsbewusster Konsolensitzungen für AWS verwaltete Anwendungen, die diese Sitzungen unterstützen.

 4. September 2024
AWSIAMIdentityCenterAllowListForIdentityContext

Diese Richtlinie umfasst jetzt die es:ESHttpPut Aktionenaoss:APIAccessAll,,es:ESHttpHead,es:ESHttpPost, es:ESHttpGet es:ESHttpPatches:ESHttpDelete, und zur Unterstützung identitätsbewusster Konsolensitzungen für AWS verwaltete Anwendungen, die diese Sitzungen unterstützen.

 12. Juli 2024
AWSIAMIdentityCenterAllowListForIdentityContext

Diese Richtlinie umfasst jetzt die qapps:TagResource Aktionenqapps:PredictQApp,qapps:ImportDocument,,qapps:AssociateLibraryItemReview,qapps:DisassociateLibraryItemReview, qapps:GetQAppSession qapps:UpdateQAppSession qapps:GetQAppSessionMetadataqapps:UpdateQAppSessionMetadata, und zur Unterstützung identitätsbewusster Konsolensitzungen für AWS verwaltete Anwendungen, die diese Sitzungen unterstützen.

 27. Juni 2024
AWSIAMIdentityCenterAllowListForIdentityContext

Diese Richtlinie umfasst jetzt die elasticmapreduce:ListSteps Aktionenelasticmapreduce:AddJobFlowSteps,elasticmapreduce:DescribeCluster, elasticmapreduce:CancelStepselasticmapreduce:DescribeStep, und zur Unterstützung der Verbreitung vertrauenswürdiger Identitäten in AmazonEMR.

 17. Mai 2024
AWSIAMIdentityCenterAllowListForIdentityContext

Diese Richtlinie umfasst jetzt dieqapps:CreateQApp,,qapps:PredictProblemStatementFromConversation,qapps:PredictQAppFromProblemStatement,,qapps:CopyQApp,qapps:GetQApp,qapps:ListQApps,qapps:UpdateQApp,qapps:DeleteQApp,qapps:AssociateQAppWithUser,,qapps:DisassociateQAppFromUser,qapps:ImportDocumentToQApp,qapps:ImportDocumentToQAppSession,qapps:CreateLibraryItem,qapps:GetLibraryItem, qapps:UpdateLibraryItem qapps:CreateLibraryItemReview qapps:ListLibraryItems qapps:CreateSubscriptionTokenqapps:StartQAppSession, und qapps:StopQAppSession Aktionen zur Unterstützung identitätsbewusster Konsolensitzungen für AWS verwaltete Anwendungen, die diese Sitzungen unterstützen.

 30. April 2024
AWSSSOMasterAccountAdministrator

Diese Richtlinie umfasst jetzt die signin:CreateTrustedIdentityPropagationApplicationForConsole und signin:ListTrustedIdentityPropagationApplicationsForConsole Aktionen zur Unterstützung identitätsbewusster Konsolensitzungen für AWS verwaltete Anwendungen, die diese Sitzungen unterstützen.

 26. April 2024
AWSSSOMemberAccountAdministrator

Diese Richtlinie umfasst jetzt die signin:CreateTrustedIdentityPropagationApplicationForConsole und signin:ListTrustedIdentityPropagationApplicationsForConsole Aktionen zur Unterstützung identitätsbewusster Konsolensitzungen für AWS verwaltete Anwendungen, die diese Sitzungen unterstützen.

 26. April 2024
AWSSSOReadOnly

Diese Richtlinie umfasst jetzt die signin:ListTrustedIdentityPropagationApplicationsForConsole Aktion zur Unterstützung identitätsbewusster Konsolensitzungen für AWS verwaltete Anwendungen, die diese Sitzungen unterstützen.

 26. April 2024
AWSIAMIdentityCenterAllowListForIdentityContext

Diese Richtlinie umfasst jetzt die qbusiness:PutFeedback Aktion zur Unterstützung identitätsbewusster Konsolensitzungen für AWS verwaltete Anwendungen, die diese Sitzungen unterstützen.

 26. April 2024
AWSIAMIdentityCenterAllowListForIdentityContext

Diese Richtlinie umfasst jetzt die q:UpdateTroubleshootingCommandResult Aktionenq:StartConversation,q:SendMessage,,q:ListConversations, q:GetConversation q:StartTroubleshootingAnalysis q:GetTroubleshootingResultsq:StartTroubleshootingResolutionExplanation, und zur Unterstützung identitätsbewusster Konsolensitzungen für AWS verwaltete Anwendungen, die diese Sitzungen unterstützen.

 24. April 2024
AWSIAMIdentityCenterAllowListForIdentityContext

Diese Richtlinie umfasst jetzt die sts:SetContext Aktion zur Unterstützung identitätsbewusster Konsolensitzungen für AWS verwaltete Anwendungen, die diese Sitzungen unterstützen.

 19. April 2024
AWSIAMIdentityCenterAllowListForIdentityContext

Diese Richtlinie umfasst jetzt die qbusiness:DeleteConversation Aktionenqbusiness:Chat,, qbusiness:ChatSync qbusiness:ListConversations qbusiness:ListMessages, und zur Unterstützung identitätsbewusster Konsolensitzungen für AWS verwaltete Anwendungen, die diese Sitzungen unterstützen.

 11. April 2024
AWSIAMIdentityCenterAllowListForIdentityContext

Diese Richtlinie umfasst jetzt die s3:GetDataAccess Aktionen s3:GetAccessGrantsInstanceForPrefix und.

 26. November 2023
AWSIAMIdentityCenterAllowListForIdentityContext

Diese Richtlinie enthält die Liste der Aktionen, die zulässig sind, wenn Sie Trusted Identity Propagation mit Rollen verwenden, die im IAM Identity Center-Identitätskontext übernommen werden.

 15. November 2023
AWSSSODirectoryReadOnly

Diese Richtlinie umfasst jetzt den neuen Namespace identitystore-auth mit neuen Berechtigungen, die es Benutzern ermöglichen, Sitzungen aufzulisten und abzurufen.

 21. Februar 2023
AWSSSOServiceRolePolicy

Diese Richtlinie ermöglicht nun, dass die UpdateSAMLProvider Aktion für das Verwaltungskonto ausgeführt wird.

 20. Oktober 2022
AWSSSOMasterAccountAdministrator

Diese Richtlinie umfasst jetzt den neuen Namespace identitystore-auth mit neuen Berechtigungen, die es dem Administrator ermöglichen, Sitzungen für einen Benutzer aufzulisten und zu löschen.

20. Oktober 2022
AWSSSOMemberAccountAdministrator

Diese Richtlinie umfasst jetzt den neuen Namespace identitystore-auth mit neuen Berechtigungen, die es dem Administrator ermöglichen, Sitzungen für einen Benutzer aufzulisten und zu löschen.

20. Oktober 2022
AWSSSODirectoryAdministrator

Diese Richtlinie umfasst jetzt den neuen Namespace identitystore-auth mit neuen Berechtigungen, die es dem Administrator ermöglichen, Sitzungen für einen Benutzer aufzulisten und zu löschen.

20. Oktober 2022
AWSSSOMasterAccountAdministrator

Diese Richtlinie umfasst jetzt neue ListDelegatedAdministrators Anrufberechtigungen. AWS Organizations Diese Richtlinie umfasst jetzt auch eine Teilmenge von BerechtigungenAWSSSOManageDelegatedAdministrator, zu der auch Anrufberechtigungen RegisterDelegatedAdministrator und DeregisterDelegatedAdministrator gehören.

16. August 2022
AWSSSOMemberAccountAdministrator

Diese Richtlinie umfasst jetzt neue ListDelegatedAdministrators Anrufberechtigungen. AWS Organizations Diese Richtlinie umfasst jetzt auch eine Teilmenge von BerechtigungenAWSSSOManageDelegatedAdministrator, zu der auch Anrufberechtigungen RegisterDelegatedAdministrator und DeregisterDelegatedAdministrator gehören.

16. August 2022
AWSSSOReadOnly

Diese Richtlinie umfasst jetzt neue ListDelegatedAdministrators Anrufberechtigungen. AWS Organizations

11. August 2022
AWSSSOServiceRolePolicy

Diese Richtlinie umfasst jetzt neue Anrufberechtigungen DeleteRolePermissionsBoundary undPutRolePermisionsBoundary.

 14. Juli 2022
AWSSSOServiceRolePolicy Diese Richtlinie umfasst jetzt neue Berechtigungen, die eingehende Anrufe ermöglichen ListAWSServiceAccessForOrganization and ListDelegatedAdministrators AWS Organizations. 11. Mai 2022

AWSSSOMasterAccountAdministrator

AWSSSOMemberAccountAdministrator

AWSSSOReadOnly

 Fügen Sie IAM Access Analyzer-Berechtigungen hinzu, die es einem Prinzipal ermöglichen, die Richtlinienprüfungen zur Validierung zu verwenden. 28. April 2022
AWSSSOMasterAccountAdministrator

Diese Richtlinie erlaubt jetzt alle Aktionen des IAM Identity Center Identity Store-Dienstes.

Informationen zu den im IAM Identity Center Identity Store-Dienst verfügbaren Aktionen finden Sie in der IAMIdentity Center Identity API Store-Referenz.

 29. März 2022
AWSSSOMemberAccountAdministrator

Diese Richtlinie erlaubt jetzt alle Aktionen des IAM Identity Center Identity Store-Dienstes.

 29. März 2022
AWSSSODirectoryAdministrator

Diese Richtlinie erlaubt jetzt alle IAM Identity Center Identity Store-Dienstaktionen.

 29. März 2022
AWSSSODirectoryReadOnly

Diese Richtlinie gewährt nun Zugriff auf die Leseaktionen des IAM Identity Center Identity Store-Dienstes. Dieser Zugriff ist erforderlich, um Benutzer- und Gruppeninformationen aus dem IAM Identity Center Identity Store-Dienst abzurufen.

 29. März 2022
AWSIdentitySyncFullAccess

Diese Richtlinie ermöglicht vollen Zugriff auf Berechtigungen zur Identitätssynchronisierung.

 3. März 2022
AWSIdentitySyncReadOnlyAccess

Diese Richtlinie gewährt nur Leseberechtigungen, die es einem Prinzipal ermöglichen, Einstellungen zur Identitätssynchronisierung einzusehen.

 3. März 2022
AWSSSOReadOnly

Diese Richtlinie gewährt nur Leseberechtigungen, die es einem Prinzipal ermöglichen, die Identity Center-Konfigurationseinstellungen einzusehen. IAM

4. August 2021
IAMIdentity Center hat mit der Nachverfolgung von Änderungen begonnen IAMIdentity Center hat damit begonnen, Änderungen an AWS verwalteten Richtlinien nachzuverfolgen. 4. August 2021