Claves de acciones, recursos y condiciones de AWS IAM Identity Center (sucesor del AWS Single Sign-On) - Referencia de autorizaciones de servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Claves de acciones, recursos y condiciones de AWS IAM Identity Center (sucesor del AWS Single Sign-On)

AWS IAMIdentity Center (sucesor del AWS Single Sign-On) (prefijo de servicio:sso) proporciona los siguientes recursos, acciones y claves contextuales de condiciones específicos del servicio para su uso en las políticas de permisos. IAM

Referencias:

Acciones definidas por AWS IAM Identity Center (sucesor del AWS Single Sign-On)

Puede especificar las siguientes acciones en el Action elemento de una declaración de IAM política. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando se utiliza una acción en una política, normalmente se permite o deniega el acceso a la API operación o CLI comando con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar uno ARN de ese tipo en una declaración con esa acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el Resource elemento de una IAM política, debe incluir un patrón ARN o para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateDirectory Otorga permiso para conectar un directorio para que lo utilice AWS IAM Identity Center Escritura

ds:AuthorizeApplication

AssociateProfile Otorga permiso para crear una asociación entre un usuario o grupo del directorio y un perfil Escritura
AttachCustomerManagedPolicyReferenceToPermissionSet Concede permiso para adjuntar una referencia de política administrada por el cliente a un conjunto de permisos Administración de permisos

Instance*

PermissionSet*

AttachManagedPolicyToPermissionSet Otorga permiso para adjuntar una política AWS administrada a un conjunto de permisos Administración de permisos

Instance*

PermissionSet*

CreateAccountAssignment Otorga permiso para asignar el acceso a un director a una persona específica Cuenta de AWS mediante un conjunto de permisos específico Escritura

Account*

Instance*

PermissionSet*

CreateApplication Concede permiso para crear una aplicación. Escritura

ApplicationProvider*

Instance*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateApplicationAssignment Concede permiso para crear una asignación de la aplicación Escritura

Application*

sso:ApplicationAccount

CreateApplicationInstance Otorga permiso para agregar una instancia de aplicación a AWS IAM Identity Center Escritura
CreateApplicationInstanceCertificate Otorga permiso para agregar un certificado nuevo para una instancia de aplicación Escritura
CreateInstance Concede permiso para crear una instancia de centro de identidad Escritura

Instance*

iam:CreateServiceLinkedRole

organizations:DescribeOrganization

aws:RequestTag/${TagKey}

aws:TagKeys

CreateInstanceAccessControlAttributeConfiguration Otorga permiso para habilitar la instancia ABAC y especificar los atributos Escritura

Instance*

iam:AttachRolePolicy

iam:CreateRole

iam:DeleteRole

iam:DeleteRolePolicy

iam:DetachRolePolicy

iam:GetRole

iam:ListAttachedRolePolicies

iam:ListRolePolicies

iam:PutRolePolicy

iam:UpdateAssumeRolePolicy

CreateManagedApplicationInstance Otorga permiso para agregar una instancia de aplicación administrada a AWS IAM Identity Center Escritura
CreatePermissionSet Otorga permiso para crear un conjunto de permisos Write

Instance*

PermissionSet*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProfile Otorga permiso para crear un perfil para una instancia de aplicación Write
CreateTrust Otorga permiso para crear una confianza de federación en una cuenta de destino Escritura
CreateTrustedTokenIssuer Concede permiso para crear un emisor de token de confianza para una instancia Escritura

Instance*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAccountAssignment Otorga permiso para eliminar el acceso de un director de una entidad específica Cuenta de AWS mediante un conjunto de permisos específico Escritura

Account*

Instance*

PermissionSet*

DeleteApplication Concede permiso para eliminar una aplicación. Escritura

Application*

sso:ApplicationAccount

DeleteApplicationAccessScope Concede permiso para eliminar el ámbito del acceso a una aplicación Escritura

Application*

sso:ApplicationAccount

DeleteApplicationAssignment Concede permiso para eliminar una asignación de la aplicación Escritura

Application*

sso:ApplicationAccount

DeleteApplicationAuthenticationMethod Concede permiso para eliminar un método de autenticación a una aplicación Escritura

Application*

sso:ApplicationAccount

DeleteApplicationGrant Concede permiso para eliminar una concesión de una aplicación Escritura

Application*

sso:ApplicationAccount

DeleteApplicationInstance Otorga permiso para eliminar la instancia de aplicación Write
DeleteApplicationInstanceCertificate Otorga permiso para eliminar un certificado inactivo o caducado de la instancia de aplicación Escritura
DeleteInlinePolicyFromPermissionSet Otorga permiso para eliminar la política en línea de un conjunto de permisos especificado Escritura

Instance*

PermissionSet*

DeleteInstance Concede permiso para eliminar una instancia del centro de identidad Escritura

Instance*

DeleteInstanceAccessControlAttributeConfiguration Otorga permiso para deshabilitar ABAC y eliminar la lista de atributos de la instancia Escritura

Instance*

DeleteManagedApplicationInstance Otorga permiso para eliminar la instancia de aplicación administrada Write
DeletePermissionSet Otorga permiso para eliminar un conjunto de permisos Escritura

Instance*

PermissionSet*

DeletePermissionsBoundaryFromPermissionSet Concede permiso para eliminar el límite de permisos de un conjunto de permisos Administración de permisos

Instance*

PermissionSet*

DeletePermissionsPolicy Otorga permiso para eliminar la política de permisos asociada a un conjunto de permisos Permissions management
DeleteProfile Otorga permiso para eliminar el perfil de una instancia de aplicación Escritura
DeleteTrustedTokenIssuer Concede permiso para eliminar un emisor de token de confianza para una instancia Escritura

TrustedTokenIssuer*

DescribeAccountAssignmentCreationStatus Otorga permiso para describir el estado de la solicitud de creación de asignaciones Lectura

Instance*

DescribeAccountAssignmentDeletionStatus Otorga permiso para describir el estado de una solicitud de eliminación de asignaciones Lectura

Instance*

DescribeApplication Concede permiso para obtener información sobre una aplicación Lectura

Application*

sso:ApplicationAccount

DescribeApplicationAssignment Concede permiso para recuperar una asignación de la aplicación Lectura

Application*

sso:ApplicationAccount

DescribeApplicationProvider Concede el permiso para describir un proveedor de la aplicación Lectura

ApplicationProvider*

DescribeDirectories Concede permiso para obtener información acerca de los directorios de esta cuenta Lectura
DescribeInstance Concede permiso para obtener información acerca de una instancia del centro de identificación Lectura

Instance*

DescribeInstanceAccessControlAttributeConfiguration Otorga permiso para obtener la lista de atributos que utiliza la instancia para ABAC Lectura

Instance*

DescribePermissionSet Otorga permiso para describir un conjunto de permisos Lectura

Instance*

PermissionSet*

DescribePermissionSetProvisioningStatus Otorga permiso para describir el estado de la solicitud de aprovisionamiento de conjuntos de permisos Lectura

Instance*

DescribePermissionsPolicies Otorga permiso para recuperar todas las política de permisos asociadas a un conjunto de permisos Lectura
DescribeRegisteredRegions Otorga permiso para obtener las regiones en las que su organización ha habilitado AWS IAM Identity Center Lectura
DescribeTrustedTokenIssuer Concede permiso para describir un emisor de token de confianza para una instancia Lectura

TrustedTokenIssuer*

DescribeTrusts Concede permiso para obtener información acerca de las relaciones de confianza de esta cuenta Lectura
DetachCustomerManagedPolicyReferenceFromPermissionSet Concede permiso para desasociar una referencia de política administrada por el cliente de un conjunto de permisos Administración de permisos

Instance*

PermissionSet*

DetachManagedPolicyFromPermissionSet Otorga permiso para separar la política AWS gestionada adjunta del conjunto de permisos especificado Administración de permisos

Instance*

PermissionSet*

DisassociateDirectory Otorga permiso para desasociar un directorio para que lo utilice Identity Center AWS IAM Escritura

ds:UnauthorizeApplication

DisassociateProfile Otorga permiso para desasociar a un usuario o grupo de directorio de un perfil Escritura
GetApplicationAccessScope Concede permiso para obtener un ámbito de acceso a una aplicación Lectura

Application*

sso:ApplicationAccount

GetApplicationAssignmentConfiguration Concede permiso para leer configuraciones de asignación para una aplicación Lectura

Application*

sso:ApplicationAccount

GetApplicationAuthenticationMethod Concede permiso para obtener un método de autenticación para una aplicación Lectura

Application*

sso:ApplicationAccount

GetApplicationGrant Concede permiso para obtener detalles sobre una subvención que pertenece a una aplicación Lectura

Application*

sso:ApplicationAccount

GetApplicationInstance Otorga permiso para recuperar detalles de una instancia de aplicación Read
GetApplicationTemplate Otorga permiso para recuperar los detalles de la plantilla de aplicación Lectura
GetInlinePolicyForPermissionSet Otorga permiso para obtener la directiva en línea asignada al conjunto de permisos Lectura

Instance*

PermissionSet*

GetManagedApplicationInstance Otorga permiso para recuperar detalles de una instancia de aplicación Read
GetMfaDeviceManagementForDirectory Otorga permiso para recuperar la configuración de administración de dispositivos MFA para el directorio Read
GetPermissionSet Otorga permiso para recuperar detalles de un conjunto de permisos Lectura
GetPermissionsBoundaryForPermissionSet Concede permiso para obtener el límite de permisos de un conjunto de permisos Lectura

Instance*

PermissionSet*

GetPermissionsPolicy Otorga permiso para recuperar todos las políticas de permiso asociadas a un conjunto de permisos Read

sso:DescribePermissionsPolicies

GetProfile Otorga permiso para recuperar un perfil para una instancia de aplicación Lectura
GetSSOStatus Otorga permiso para comprobar si AWS IAM Identity Center está activado Lectura
GetSharedSsoConfiguration Otorga permiso para recuperar la configuración compartida de la SSO instancia actual Lectura
GetSsoConfiguration Otorga permiso para recuperar la configuración de la SSO instancia actual Lectura
GetTrust Otorga permiso para recuperar la confianza de federación en una cuenta de destino Lectura
ImportApplicationInstanceServiceProviderMetadata Otorga permiso para actualizar la instancia de la aplicación cargando un archivo de SAML metadatos de la aplicación proporcionado por el proveedor de servicios Escritura
ListAccountAssignmentCreationStatus Otorga permiso para mostrar el estado de las solicitudes de creación de Cuenta de AWS asignaciones para una instancia específica SSO Enumeración

Instance*

ListAccountAssignmentDeletionStatus Otorga permiso para mostrar el estado de las solicitudes de eliminación de Cuenta de AWS tareas para una SSO instancia específica Enumeración

Instance*

ListAccountAssignments Otorga permiso para incluir en la lista al cesionario de lo especificado Cuenta de AWS con el conjunto de permisos especificado Enumeración

Account*

Instance*

PermissionSet*

ListAccountAssignmentsForPrincipal Concede permiso para enumerar las cuentas asignadas a un usuario o grupo Enumeración

Instance*

ListAccountsForProvisionedPermissionSet Otorga permiso para enumerar todas las AWS cuentas en las que se aprovisiona el conjunto de permisos especificado Enumeración

Instance*

PermissionSet*

ListApplicationAccessScopes Concede permiso para enumerar los ámbitos de acceso a una aplicación Enumeración

Application*

sso:ApplicationAccount

ListApplicationAssignments Concede permiso para enumerar las asignaciones de la aplicación Enumeración

Application*

sso:ApplicationAccount

ListApplicationAssignmentsForPrincipal Concede permiso para enumerar las aplicaciones asignadas a un usuario o grupo Enumeración

Instance*

sso:ApplicationAccount

ListApplicationAuthenticationMethods Concede permiso para enumerar los métodos de autenticación a una aplicación Enumeración

Application*

sso:ApplicationAccount

ListApplicationGrants Concede el permiso para enumerar las concesiones de una aplicación Enumeración

Application*

sso:ApplicationAccount

ListApplicationInstanceCertificates Otorga permiso para recuperar todos los certificados de una determinada instancia de aplicación Read
ListApplicationInstances Otorga permiso para recuperar todas las instancias de aplicación Enumeración

sso:GetApplicationInstance

ListApplicationProviders Concede permiso para enumerar los proveedores de la aplicación Enumeración

ApplicationProvider*

ListApplicationTemplates Otorga permiso para recuperar todas las plantillas de aplicación admitidas Enumeración

sso:GetApplicationTemplate

ListApplications Otorga permiso para recuperar todas las aplicaciones asociadas a la instancia de IAM Identity Center Enumeración
ListCustomerManagedPolicyReferencesInPermissionSet Otorga permiso para enumerar las referencias de políticas administradas por el cliente adjuntas un conjunto de permisos Enumeración

Instance*

PermissionSet*

ListDirectoryAssociations Otorga permiso para recuperar detalles sobre el directorio conectado a AWS IAM Identity Center Lectura
ListInstances Otorga permiso para enumerar las SSO instancias a las que tiene acceso la persona que llama Enumeración
ListManagedPoliciesInPermissionSet Otorga permiso para enumerar las políticas AWS administradas que están adjuntas a un conjunto de permisos específico Enumeración

Instance*

PermissionSet*

ListPermissionSetProvisioningStatus Otorga permiso para mostrar el estado de las solicitudes de aprovisionamiento del conjunto de permisos para una instancia específica SSO Enumeración

Instance*

ListPermissionSets Otorga permiso para recuperar todos los conjuntos de permisos Enumeración

Instance*

ListPermissionSetsProvisionedToAccount Otorga permiso para enumerar todos los conjuntos de permisos que se aprovisionan a una determinada Cuenta de AWS Enumeración

Account*

Instance*

ListProfileAssociations Otorga permiso para recuperar el usuario o grupo de directorio asociado con el perfil Read
ListProfiles Otorga permiso para recuperar todos los perfiles de una instancia de aplicación Enumeración

sso:GetProfile

ListTagsForResource Otorga permiso para obtener una lista de las etiquetas que se asocian a un recurso especificado Lectura

Application

Instance

PermissionSet

TrustedTokenIssuer

ListTrustedTokenIssuers Concede permiso para enumerar emisores de tokens de confianza para una instancia Enumeración

Instance*

ProvisionPermissionSet Concede permiso para aprovisionar un conjunto de permisos especificado en el destino especificado Escritura

Account*

Instance*

PermissionSet*

PutApplicationAccessScope Concede permiso para crear o actualizar un ámbito de acceso a una aplicación Escritura

Application*

sso:ApplicationAccount

PutApplicationAssignmentConfiguration Concede permiso para agregar configuraciones de asignación a una aplicación Escritura

Application*

sso:ApplicationAccount

PutApplicationAuthenticationMethod Concede permiso para crear o actualizar un método de autenticación para una aplicación Escritura

Application*

sso:ApplicationAccount

PutApplicationGrant Concede permiso para crear o actualizar una concesión a una aplicación Escritura

Application*

sso:ApplicationAccount

PutInlinePolicyToPermissionSet Otorga permiso para adjuntar una política IAM en línea a un conjunto de permisos Escritura

Instance*

PermissionSet*

PutMfaDeviceManagementForDirectory Otorga permiso para poner la configuración de administración de dispositivos MFA para el directorio Escritura
PutPermissionsBoundaryToPermissionSet Concede permiso para agregar el límite de permisos a un conjunto de permisos Administración de permisos

Instance*

PermissionSet*

PutPermissionsPolicy Otorga permiso para agregar una directiva a un conjunto de permisos Permissions management
SearchGroups Otorga permiso para buscar grupos dentro del directorio asociado Read

ds:DescribeDirectories

SearchUsers Otorga permiso para buscar usuarios dentro del directorio asociado Lectura

ds:DescribeDirectories

StartSSO Otorga permiso para inicializar Identity Center AWS IAM Escritura

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

TagResource Otorga permiso para asociar un conjunto de etiquetas a un recurso especificado Etiquetado

Application

Instance

PermissionSet

TrustedTokenIssuer

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Otorga permiso para desasociar un conjunto de etiquetas de un recurso especificado Etiquetado

Application

Instance

PermissionSet

TrustedTokenIssuer

aws:TagKeys

UpdateApplication Concede permiso para actualizar una aplicación Escritura

Application*

sso:ApplicationAccount

UpdateApplicationInstanceActiveCertificate Otorga permiso para establecer un certificado como el activo para esta instancia de aplicación Write
UpdateApplicationInstanceDisplayData Otorga permiso para actualizar los datos de visualización de una instancia de aplicación Write
UpdateApplicationInstanceResponseConfiguration Otorga permiso para actualizar la configuración de respuesta de federación para la instancia de aplicación Write
UpdateApplicationInstanceResponseSchemaConfiguration Otorga permiso para actualizar la configuración de respuesta de esquema de federación para la instancia de aplicación Write
UpdateApplicationInstanceSecurityConfiguration Otorga permiso para actualizar los detalles de seguridad para la instancia de aplicación Write
UpdateApplicationInstanceServiceProviderConfiguration Otorga permiso para actualizar la configuración relacionada con el proveedor de servicios para la instancia de aplicación Write
UpdateApplicationInstanceStatus Otorga permiso para actualizar el estado de una instancia de aplicación Write
UpdateDirectoryAssociation Otorga permiso para actualizar los mapeos de atributos de usuario de tu directorio conectado Escritura
UpdateInstance Concede permiso para actualizar una instancia del centro de identidad Escritura

Instance*

UpdateInstanceAccessControlAttributeConfiguration Otorga permiso para actualizar los atributos que se van a usar con la instancia ABAC Escritura

Instance*

UpdateManagedApplicationInstanceStatus Otorga permiso para actualizar el estado de una instancia de aplicación administrada Escritura
UpdatePermissionSet Otorga permiso para actualizar el conjunto de permisos Administración de permisos

Instance*

PermissionSet*

UpdateProfile Otorga permiso para actualizar el perfil de una instancia de aplicación Escritura
UpdateSSOConfiguration Otorga permiso para actualizar la configuración de la SSO instancia actual Escritura
UpdateTrust Otorga permiso para actualizar la confianza de federación en una cuenta de destino Escritura
UpdateTrustedTokenIssuer Concede permiso para actualizar un emisor de token de confianza para una instancia Escritura

TrustedTokenIssuer*

Tipos de recursos definidos por AWS IAM Identity Center (sucesor de AWS Single Sign-On)

Este servicio define los siguientes tipos de recursos y se pueden utilizar como Resource elemento de las declaraciones de política de IAM permisos. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
PermissionSet arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}

aws:ResourceTag/${TagKey}

Account arn:${Partition}:sso:::account/${AccountId}
Instance arn:${Partition}:sso:::instance/${InstanceId}

aws:ResourceTag/${TagKey}

Application arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}

aws:ResourceTag/${TagKey}

sso:ApplicationAccount

TrustedTokenIssuer arn:${Partition}:sso::${AccountId}:trustedTokenIssuer/${InstanceId}/${TrustedTokenIssuerId}

aws:ResourceTag/${TagKey}

ApplicationProvider arn:${Partition}:sso::aws:applicationProvider/${ApplicationProviderId}

Claves de condición de AWS IAM Identity Center (sucesora de AWS Single Sign-On)

AWS IAMIdentity Center (sucesor del inicio de sesión AWS único) define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una política. IAM Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por las etiquetas que se pasan en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por las etiquetas asociadas al recurso Cadena
aws:TagKeys Filtra el acceso por las claves de etiquetas que se pasan en la solicitud ArrayOfString
sso:ApplicationAccount Filtra el acceso por cuenta que crea la aplicación Cadena