Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Claves de acciones, recursos y condiciones de AWS IAM Identity Center (sucesor del AWS Single Sign-On)
AWS IAMIdentity Center (sucesor del AWS Single Sign-On) (prefijo de servicio:sso) proporciona los siguientes recursos, acciones y claves contextuales de condiciones específicos del servicio para su uso en las políticas de permisos. IAM
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las APIoperaciones disponibles para este servicio.
-
Aprenda a proteger este servicio y sus recursos mediante políticas de IAM permisos.
Temas
Acciones definidas por AWS IAM Identity Center (sucesor del AWS Single Sign-On)
Puede especificar las siguientes acciones en el Action elemento de una declaración de IAM política. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando se utiliza una acción en una política, normalmente se permite o deniega el acceso a la API operación o CLI comando con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar uno ARN de ese tipo en una declaración con esa acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el Resource elemento de una IAM política, debe incluir un patrón ARN o para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AssociateDirectory | Otorga permiso para conectar un directorio para que lo utilice AWS IAM Identity Center | Escritura |
ds:AuthorizeApplication |
||
| AssociateProfile | Otorga permiso para crear una asociación entre un usuario o grupo del directorio y un perfil | Escritura | |||
| AttachCustomerManagedPolicyReferenceToPermissionSet | Concede permiso para adjuntar una referencia de política administrada por el cliente a un conjunto de permisos | Administración de permisos | |||
| AttachManagedPolicyToPermissionSet | Otorga permiso para adjuntar una política AWS administrada a un conjunto de permisos | Administración de permisos | |||
| CreateAccountAssignment | Otorga permiso para asignar el acceso a un director a una persona específica Cuenta de AWS mediante un conjunto de permisos específico | Escritura | |||
| CreateApplication | Concede permiso para crear una aplicación. | Escritura | |||
| CreateApplicationAssignment | Concede permiso para crear una asignación de la aplicación | Escritura | |||
| CreateApplicationInstance | Otorga permiso para agregar una instancia de aplicación a AWS IAM Identity Center | Escritura | |||
| CreateApplicationInstanceCertificate | Otorga permiso para agregar un certificado nuevo para una instancia de aplicación | Escritura | |||
| CreateInstance | Concede permiso para crear una instancia de centro de identidad | Escritura |
iam:CreateServiceLinkedRole organizations:DescribeOrganization |
||
| CreateInstanceAccessControlAttributeConfiguration | Otorga permiso para habilitar la instancia ABAC y especificar los atributos | Escritura |
iam:AttachRolePolicy iam:CreateRole iam:DeleteRole iam:DeleteRolePolicy iam:DetachRolePolicy iam:GetRole iam:ListAttachedRolePolicies iam:ListRolePolicies iam:PutRolePolicy iam:UpdateAssumeRolePolicy |
||
| CreateManagedApplicationInstance | Otorga permiso para agregar una instancia de aplicación administrada a AWS IAM Identity Center | Escritura | |||
| CreatePermissionSet | Otorga permiso para crear un conjunto de permisos | Write | |||
| CreateProfile | Otorga permiso para crear un perfil para una instancia de aplicación | Write | |||
| CreateTrust | Otorga permiso para crear una confianza de federación en una cuenta de destino | Escritura | |||
| CreateTrustedTokenIssuer | Concede permiso para crear un emisor de token de confianza para una instancia | Escritura | |||
| DeleteAccountAssignment | Otorga permiso para eliminar el acceso de un director de una entidad específica Cuenta de AWS mediante un conjunto de permisos específico | Escritura | |||
| DeleteApplication | Concede permiso para eliminar una aplicación. | Escritura | |||
| DeleteApplicationAccessScope | Concede permiso para eliminar el ámbito del acceso a una aplicación | Escritura | |||
| DeleteApplicationAssignment | Concede permiso para eliminar una asignación de la aplicación | Escritura | |||
| DeleteApplicationAuthenticationMethod | Concede permiso para eliminar un método de autenticación a una aplicación | Escritura | |||
| DeleteApplicationGrant | Concede permiso para eliminar una concesión de una aplicación | Escritura | |||
| DeleteApplicationInstance | Otorga permiso para eliminar la instancia de aplicación | Write | |||
| DeleteApplicationInstanceCertificate | Otorga permiso para eliminar un certificado inactivo o caducado de la instancia de aplicación | Escritura | |||
| DeleteInlinePolicyFromPermissionSet | Otorga permiso para eliminar la política en línea de un conjunto de permisos especificado | Escritura | |||
| DeleteInstance | Concede permiso para eliminar una instancia del centro de identidad | Escritura | |||
| DeleteInstanceAccessControlAttributeConfiguration | Otorga permiso para deshabilitar ABAC y eliminar la lista de atributos de la instancia | Escritura | |||
| DeleteManagedApplicationInstance | Otorga permiso para eliminar la instancia de aplicación administrada | Write | |||
| DeletePermissionSet | Otorga permiso para eliminar un conjunto de permisos | Escritura | |||
| DeletePermissionsBoundaryFromPermissionSet | Concede permiso para eliminar el límite de permisos de un conjunto de permisos | Administración de permisos | |||
| DeletePermissionsPolicy | Otorga permiso para eliminar la política de permisos asociada a un conjunto de permisos | Permissions management | |||
| DeleteProfile | Otorga permiso para eliminar el perfil de una instancia de aplicación | Escritura | |||
| DeleteTrustedTokenIssuer | Concede permiso para eliminar un emisor de token de confianza para una instancia | Escritura | |||
| DescribeAccountAssignmentCreationStatus | Otorga permiso para describir el estado de la solicitud de creación de asignaciones | Leer | |||
| DescribeAccountAssignmentDeletionStatus | Otorga permiso para describir el estado de una solicitud de eliminación de asignaciones | Leer | |||
| DescribeApplication | Concede permiso para obtener información sobre una aplicación | Leer | |||
| DescribeApplicationAssignment | Concede permiso para recuperar una asignación de la aplicación | Leer | |||
| DescribeApplicationProvider | Concede el permiso para describir un proveedor de la aplicación | Leer | |||
| DescribeDirectories | Concede permiso para obtener información acerca de los directorios de esta cuenta | Leer | |||
| DescribeInstance | Concede permiso para obtener información acerca de una instancia del centro de identificación | Leer | |||
| DescribeInstanceAccessControlAttributeConfiguration | Otorga permiso para obtener la lista de atributos que utiliza la instancia para ABAC | Leer | |||
| DescribePermissionSet | Otorga permiso para describir un conjunto de permisos | Leer | |||
| DescribePermissionSetProvisioningStatus | Otorga permiso para describir el estado de la solicitud de aprovisionamiento de conjuntos de permisos | Leer | |||
| DescribePermissionsPolicies | Otorga permiso para recuperar todas las política de permisos asociadas a un conjunto de permisos | Leer | |||
| DescribeRegisteredRegions | Otorga permiso para obtener las regiones en las que su organización ha habilitado AWS IAM Identity Center | Leer | |||
| DescribeTrustedTokenIssuer | Concede permiso para describir un emisor de token de confianza para una instancia | Leer | |||
| DescribeTrusts | Concede permiso para obtener información acerca de las relaciones de confianza de esta cuenta | Leer | |||
| DetachCustomerManagedPolicyReferenceFromPermissionSet | Concede permiso para desasociar una referencia de política administrada por el cliente de un conjunto de permisos | Administración de permisos | |||
| DetachManagedPolicyFromPermissionSet | Otorga permiso para separar la política AWS gestionada adjunta del conjunto de permisos especificado | Administración de permisos | |||
| DisassociateDirectory | Otorga permiso para desasociar un directorio para que lo utilice Identity Center AWS IAM | Escritura |
ds:UnauthorizeApplication |
||
| DisassociateProfile | Otorga permiso para desasociar a un usuario o grupo de directorio de un perfil | Escritura | |||
| GetApplicationAccessScope | Concede permiso para obtener un ámbito de acceso a una aplicación | Leer | |||
| GetApplicationAssignmentConfiguration | Concede permiso para leer configuraciones de asignación para una aplicación | Leer | |||
| GetApplicationAuthenticationMethod | Concede permiso para obtener un método de autenticación para una aplicación | Leer | |||
| GetApplicationGrant | Concede permiso para obtener detalles sobre una subvención que pertenece a una aplicación | Leer | |||
| GetApplicationInstance | Otorga permiso para recuperar detalles de una instancia de aplicación | Read | |||
| GetApplicationTemplate | Otorga permiso para recuperar los detalles de la plantilla de aplicación | Leer | |||
| GetInlinePolicyForPermissionSet | Otorga permiso para obtener la directiva en línea asignada al conjunto de permisos | Leer | |||
| GetManagedApplicationInstance | Otorga permiso para recuperar detalles de una instancia de aplicación | Read | |||
| GetMfaDeviceManagementForDirectory | Otorga permiso para recuperar la configuración de administración de dispositivos MFA para el directorio | Read | |||
| GetPermissionSet | Otorga permiso para recuperar detalles de un conjunto de permisos | Leer | |||
| GetPermissionsBoundaryForPermissionSet | Concede permiso para obtener el límite de permisos de un conjunto de permisos | Leer | |||
| GetPermissionsPolicy | Otorga permiso para recuperar todos las políticas de permiso asociadas a un conjunto de permisos | Read |
sso:DescribePermissionsPolicies |
||
| GetProfile | Otorga permiso para recuperar un perfil para una instancia de aplicación | Leer | |||
| GetSSOStatus | Otorga permiso para comprobar si AWS IAM Identity Center está activado | Leer | |||
| GetSharedSsoConfiguration | Otorga permiso para recuperar la configuración compartida de la SSO instancia actual | Leer | |||
| GetSsoConfiguration | Otorga permiso para recuperar la configuración de la SSO instancia actual | Leer | |||
| GetTrust | Otorga permiso para recuperar la confianza de federación en una cuenta de destino | Leer | |||
| ImportApplicationInstanceServiceProviderMetadata | Otorga permiso para actualizar la instancia de la aplicación cargando un archivo de SAML metadatos de la aplicación proporcionado por el proveedor de servicios | Escritura | |||
| ListAccountAssignmentCreationStatus | Otorga permiso para mostrar el estado de las solicitudes de creación de Cuenta de AWS asignaciones para una instancia específica SSO | Enumeración | |||
| ListAccountAssignmentDeletionStatus | Otorga permiso para mostrar el estado de las solicitudes de eliminación de Cuenta de AWS tareas para una SSO instancia específica | Enumeración | |||
| ListAccountAssignments | Otorga permiso para incluir en la lista al cesionario de lo especificado Cuenta de AWS con el conjunto de permisos especificado | Enumeración | |||
| ListAccountAssignmentsForPrincipal | Concede permiso para enumerar las cuentas asignadas a un usuario o grupo | Enumeración | |||
| ListAccountsForProvisionedPermissionSet | Otorga permiso para enumerar todas las AWS cuentas en las que se aprovisiona el conjunto de permisos especificado | Enumeración | |||
| ListApplicationAccessScopes | Concede permiso para enumerar los ámbitos de acceso a una aplicación | Enumeración | |||
| ListApplicationAssignments | Concede permiso para enumerar las asignaciones de la aplicación | Enumeración | |||
| ListApplicationAssignmentsForPrincipal | Concede permiso para enumerar las aplicaciones asignadas a un usuario o grupo | Enumeración | |||
| ListApplicationAuthenticationMethods | Concede permiso para enumerar los métodos de autenticación a una aplicación | Enumeración | |||
| ListApplicationGrants | Concede el permiso para enumerar las concesiones de una aplicación | Enumeración | |||
| ListApplicationInstanceCertificates | Otorga permiso para recuperar todos los certificados de una determinada instancia de aplicación | Read | |||
| ListApplicationInstances | Otorga permiso para recuperar todas las instancias de aplicación | Enumeración |
sso:GetApplicationInstance |
||
| ListApplicationProviders | Concede permiso para enumerar los proveedores de la aplicación | Enumeración | |||
| ListApplicationTemplates | Otorga permiso para recuperar todas las plantillas de aplicación admitidas | Enumeración |
sso:GetApplicationTemplate |
||
| ListApplications | Otorga permiso para recuperar todas las aplicaciones asociadas a la instancia de IAM Identity Center | Enumeración | |||
| ListCustomerManagedPolicyReferencesInPermissionSet | Otorga permiso para enumerar las referencias de políticas administradas por el cliente adjuntas un conjunto de permisos | Enumeración | |||
| ListDirectoryAssociations | Otorga permiso para recuperar detalles sobre el directorio conectado a AWS IAM Identity Center | Leer | |||
| ListInstances | Otorga permiso para enumerar las SSO instancias a las que tiene acceso la persona que llama | Enumeración | |||
| ListManagedPoliciesInPermissionSet | Otorga permiso para enumerar las políticas AWS administradas que se adjuntan a un conjunto de permisos específico | Enumeración | |||
| ListPermissionSetProvisioningStatus | Otorga permiso para mostrar el estado de las solicitudes de aprovisionamiento del conjunto de permisos para una instancia específica SSO | Enumeración | |||
| ListPermissionSets | Otorga permiso para recuperar todos los conjuntos de permisos | Enumeración | |||
| ListPermissionSetsProvisionedToAccount | Otorga permiso para enumerar todos los conjuntos de permisos que se aprovisionan a una determinada Cuenta de AWS | Enumeración | |||
| ListProfileAssociations | Otorga permiso para recuperar el usuario o grupo de directorio asociado con el perfil | Read | |||
| ListProfiles | Otorga permiso para recuperar todos los perfiles de una instancia de aplicación | Enumeración |
sso:GetProfile |
||
| ListTagsForResource | Otorga permiso para obtener una lista de las etiquetas que se asocian a un recurso especificado | Leer | |||
| ListTrustedTokenIssuers | Concede permiso para enumerar emisores de tokens de confianza para una instancia | Enumeración | |||
| ProvisionPermissionSet | Concede permiso para aprovisionar un conjunto de permisos especificado en el destino especificado | Escritura | |||
| PutApplicationAccessScope | Concede permiso para crear o actualizar un ámbito de acceso a una aplicación | Escritura | |||
| PutApplicationAssignmentConfiguration | Concede permiso para agregar configuraciones de asignación a una aplicación | Escritura | |||
| PutApplicationAuthenticationMethod | Concede permiso para crear o actualizar un método de autenticación para una aplicación | Escritura | |||
| PutApplicationGrant | Concede permiso para crear o actualizar una concesión a una aplicación | Escritura | |||
| PutInlinePolicyToPermissionSet | Otorga permiso para adjuntar una política IAM en línea a un conjunto de permisos | Escritura | |||
| PutMfaDeviceManagementForDirectory | Otorga permiso para poner la configuración de administración de dispositivos MFA para el directorio | Escritura | |||
| PutPermissionsBoundaryToPermissionSet | Concede permiso para agregar el límite de permisos a un conjunto de permisos | Administración de permisos | |||
| PutPermissionsPolicy | Otorga permiso para agregar una directiva a un conjunto de permisos | Permissions management | |||
| SearchGroups | Otorga permiso para buscar grupos dentro del directorio asociado | Read |
ds:DescribeDirectories |
||
| SearchUsers | Otorga permiso para buscar usuarios dentro del directorio asociado | Leer |
ds:DescribeDirectories |
||
| StartSSO | Otorga permiso para inicializar Identity Center AWS IAM | Escritura |
organizations:DescribeOrganization organizations:EnableAWSServiceAccess |
||
| TagResource | Otorga permiso para asociar un conjunto de etiquetas a un recurso especificado | Etiquetado | |||
| UntagResource | Otorga permiso para desasociar un conjunto de etiquetas de un recurso especificado | Etiquetado | |||
| UpdateApplication | Concede permiso para actualizar una aplicación | Escritura | |||
| UpdateApplicationInstanceActiveCertificate | Otorga permiso para establecer un certificado como el activo para esta instancia de aplicación | Write | |||
| UpdateApplicationInstanceDisplayData | Otorga permiso para actualizar los datos de visualización de una instancia de aplicación | Write | |||
| UpdateApplicationInstanceResponseConfiguration | Otorga permiso para actualizar la configuración de respuesta de federación para la instancia de aplicación | Write | |||
| UpdateApplicationInstanceResponseSchemaConfiguration | Otorga permiso para actualizar la configuración de respuesta de esquema de federación para la instancia de aplicación | Write | |||
| UpdateApplicationInstanceSecurityConfiguration | Otorga permiso para actualizar los detalles de seguridad para la instancia de aplicación | Write | |||
| UpdateApplicationInstanceServiceProviderConfiguration | Otorga permiso para actualizar la configuración relacionada con el proveedor de servicios para la instancia de aplicación | Write | |||
| UpdateApplicationInstanceStatus | Otorga permiso para actualizar el estado de una instancia de aplicación | Write | |||
| UpdateDirectoryAssociation | Otorga permiso para actualizar los mapeos de atributos de usuario de tu directorio conectado | Escritura | |||
| UpdateInstance | Concede permiso para actualizar una instancia del centro de identidad | Escritura | |||
| UpdateInstanceAccessControlAttributeConfiguration | Otorga permiso para actualizar los atributos que se van a usar con la instancia ABAC | Escritura | |||
| UpdateManagedApplicationInstanceStatus | Otorga permiso para actualizar el estado de una instancia de aplicación administrada | Escritura | |||
| UpdatePermissionSet | Otorga permiso para actualizar el conjunto de permisos | Administración de permisos | |||
| UpdateProfile | Otorga permiso para actualizar el perfil de una instancia de aplicación | Escritura | |||
| UpdateSSOConfiguration | Otorga permiso para actualizar la configuración de la SSO instancia actual | Escritura | |||
| UpdateTrust | Otorga permiso para actualizar la confianza de federación en una cuenta de destino | Escritura | |||
| UpdateTrustedTokenIssuer | Concede permiso para actualizar un emisor de token de confianza para una instancia | Escritura |
Tipos de recursos definidos por AWS IAM Identity Center (sucesor de AWS Single Sign-On)
Este servicio define los siguientes tipos de recursos y se pueden utilizar como Resource elemento de las declaraciones de política de IAM permisos. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| PermissionSet |
arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}
|
|
| Account |
arn:${Partition}:sso:::account/${AccountId}
|
|
| Instance |
arn:${Partition}:sso:::instance/${InstanceId}
|
|
| Application |
arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}
|
|
| TrustedTokenIssuer |
arn:${Partition}:sso::${AccountId}:trustedTokenIssuer/${InstanceId}/${TrustedTokenIssuerId}
|
|
| ApplicationProvider |
arn:${Partition}:sso::aws:applicationProvider/${ApplicationProviderId}
|
Claves de condición de AWS IAM Identity Center (sucesora de AWS Single Sign-On)
AWS IAMIdentity Center (sucesor del inicio de sesión AWS único) define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una política. IAM Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso por las etiquetas que se pasan en la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por las etiquetas asociadas al recurso | Cadena |
| aws:TagKeys | Filtra el acceso por las claves de etiquetas que se pasan en la solicitud | ArrayOfString |
| sso:ApplicationAccount | Filtra el acceso por cuenta que crea la aplicación | Cadena |
