Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung von dienstbezogenen Rollen für IAM Identity Center
AWS IAM Identity Center verwendet AWS Identity and Access Management (IAM) dienstbezogene Rollen. Eine dienstbezogene Rolle ist ein einzigartiger Rollentyp, der IAM direkt mit IAM Identity Center verknüpft ist. Sie ist von IAM Identity Center vordefiniert und umfasst alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. Weitere Informationen finden Sie unter Service-verknüpfte Rollen.
Eine dienstbezogene Rolle erleichtert die Einrichtung von IAM Identity Center, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. IAMIdentity Center definiert die Berechtigungen seiner dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur IAM Identity Center diese Rolle übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.
Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten funktionieren, IAM und suchen Sie in der Spalte Dienstverknüpfte Rolle nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Berechtigungen für dienstverknüpfte Rollen für Identity Center IAM
IAMIdentity Center verwendet die benannte dienstverknüpfte Rolle AWSServiceRoleForSSO, um IAM Identity Center Berechtigungen zur Verwaltung von AWS Ressourcen, einschließlich IAM Rollen, Richtlinien und SAML IdP, in Ihrem Namen zu gewähren.
Die AWSServiceRoleForSSO dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
-
IAMIdentity Center (Dienstpräfix:)
sso
Die Richtlinie für AWSServiceRoleForSSO dienstbezogene Rollenberechtigungen ermöglicht es IAM Identity Center, für Rollen im Pfad „/aws-reserved/sso.amazonaws.com/“ und mit dem Namenspräfix „_“ Folgendes auszuführen: AWSReservedSSO
-
iam:AttachRolePolicy -
iam:CreateRole -
iam:DeleteRole -
iam:DeleteRolePermissionsBoundary -
iam:DeleteRolePolicy -
iam:DetachRolePolicy -
iam:GetRole -
iam:ListRolePolicies -
iam:PutRolePolicy -
iam:PutRolePermissionsBoundary -
iam:ListAttachedRolePolicies
Die Richtlinie für AWSServiceRoleForSSO dienstbezogene Rollenberechtigungen ermöglicht es IAM Identity Center, bei Anbietern mit dem Namenspräfix „_“ Folgendes auszuführen: SAML AWSSSO
-
iam:CreateSAMLProvider -
iam:GetSAMLProvider -
iam:UpdateSAMLProvider -
iam:DeleteSAMLProvider
Die Richtlinie für AWSServiceRoleForSSO dienstbezogene Rollenberechtigungen ermöglicht es IAM Identity Center, in allen Organisationen Folgendes durchzuführen:
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
Die Richtlinie für AWSServiceRoleForSSO dienstbezogene Rollenberechtigungen ermöglicht es IAM Identity Center, Folgendes für alle IAM Rollen auszuführen (*):
-
iam:listRoles
Die Richtlinie für AWSServiceRoleForSSO dienstbezogene Rollenberechtigungen ermöglicht es IAM Identity Center, auf „arn:aws:iam: :*:role/ /sso.amazonaws.com/“ Folgendes auszuführen: aws-service-role AWSServiceRoleForSSO
-
iam:GetServiceLinkedRoleDeletionStatus -
iam:DeleteServiceLinkedRole
Die Richtlinie für Rollenberechtigungen IAM ermöglicht es Identity Center, die folgenden Aktionen an Ressourcen durchzuführen.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }
Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch.
Eine dienstverknüpfte Rolle für IAM Identity Center erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Nach der Aktivierung erstellt IAM Identity Center eine dienstverknüpfte Rolle für alle Konten innerhalb der Organisation in AWS Organizations. IAMIdentity Center erstellt außerdem dieselbe dienstbezogene Rolle in jedem Konto, das anschließend zu Ihrer Organisation hinzugefügt wird. Mit dieser Rolle kann IAM Identity Center in Ihrem Namen auf die Ressourcen der einzelnen Konten zugreifen.
Hinweise
-
Wenn Sie beim AWS Organizations Verwaltungskonto angemeldet sind, verwendet es Ihre aktuell angemeldete Rolle und nicht die dienstverknüpfte Rolle. Dadurch wird die Eskalation von Rechten verhindert.
-
Wenn IAM Identity Center irgendwelche IAM Operationen im AWS Organizations Verwaltungskonto ausführt, werden alle Operationen mit den Anmeldeinformationen des IAM Prinzipals ausgeführt. Auf diese Weise können die CloudTrail Anmeldungen nachvollziehen, wer alle Berechtigungsänderungen im Verwaltungskonto vorgenommen hat.
Wichtig
Wenn Sie den IAM Identity Center-Dienst vor dem 7. Dezember 2017 verwendet haben, als er begann, dienstbezogene Rollen zu unterstützen, dann hat IAM Identity Center die AWSServiceRoleForSSO Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter Eine neue Rolle wurde in „Mein IAM Konto“ angezeigt.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen.
Bearbeitung einer dienstbezogenen Rolle für IAM Identity Center
IAMIdentity Center erlaubt es Ihnen nicht, die AWSServiceRoleForSSO dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.
Löschen einer dienstverknüpften Rolle für Identity Center IAM
Sie müssen die AWSServiceRoleForSSO Rolle nicht manuell löschen. Wenn eine aus einer AWS Organisation entfernt AWS-Konto wird, bereinigt IAM Identity Center automatisch die Ressourcen und löscht die mit dem Dienst verknüpfte Rolle aus dieser Organisation. AWS-Konto
Sie können auch die IAM Konsole, die oder die verwenden, um die IAM CLI dienstverknüpfte IAM API Rolle manuell zu löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.
Anmerkung
Wenn der IAM Identity Center-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um IAM Identity Center-Ressourcen zu löschen, die von AWSServiceRoleForSSO
-
Entfernen Sie den Benutzer- und Gruppenzugrifffür alle Benutzer und Gruppen, die Zugriff auf die haben AWS-Konto.
-
Löschen Sie Berechtigungssätzedie Sie mit dem verknüpft haben AWS-Konto.
Um die mit dem Service verknüpfte Rolle manuell zu löschen, verwenden Sie IAM
Verwenden Sie die IAM Konsole, den oder IAMCLI, IAM API um die AWSServiceRoleForSSO dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.
