Ejemplos de políticas personalizadas Se requieren permisos para usar la consola de IAM Identity Center

Ejemplos de políticas basadas en la identidad para IAM Identity Center

En este tema se proporcionan ejemplos de IAM políticas que puede crear para conceder permisos a los usuarios y roles para administrar IAM Identity Center.

importante

Le recomendamos que consulte primero los temas introductorios en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a los recursos de IAM Identity Center. Para obtener más información, consulte Descripción general de la administración de los permisos de acceso a los recursos de IAM Identity Center.

En las secciones de este tema se explica lo siguiente:

Ejemplos de políticas personalizadas
Se requieren permisos para usar la consola de IAM Identity Center

Ejemplos de políticas personalizadas

En esta sección se proporcionan ejemplos de casos de uso comunes que requieren una IAM política personalizada. Estas políticas de ejemplo son políticas basadas en la identidad, que no especifican el elemento de la entidad principal. Esto se debe a que, con una política basada en identidades, no se especifica la entidad principal que obtiene el permiso. En su lugar, usted adjunta la política a la entidad principal. Al adjuntar una política de permisos basada en la identidad a un IAM rol, el principal identificado en la política de confianza del rol obtiene los permisos. Puede crear políticas basadas en la identidad IAM y adjuntarlas a los usuarios, grupos o roles. También puede aplicar estas políticas a los usuarios de IAM Identity Center al crear un conjunto de permisos en IAM Identity Center.

nota

Utilice estos ejemplos cuando cree políticas para su entorno y asegúrese de realizar pruebas tanto en casos positivos (“acceso concedido”) como negativos (“acceso denegado”) antes de implementar estas políticas en su entorno de producción. Para obtener más información sobre IAM las políticas de prueba, consulte Probar IAM políticas con el simulador de IAM políticas en la Guía del IAM usuario.

Temas

Ejemplo 1: Permitir que un usuario vea IAM Identity Center
Ejemplo 2: Permitir que un usuario administre los permisos Cuentas de AWS en IAM Identity Center
Ejemplo 3: Permitir que un usuario administre aplicaciones en IAM Identity Center
Ejemplo 4: permitir a un usuario administrar usuarios y grupos en el directorio de Identity Center

Ejemplo 1: Permitir que un usuario vea IAM Identity Center

La siguiente política de permisos concede permisos de solo lectura a un usuario para que pueda ver todos los ajustes y la información del directorio configurados en IAM Identity Center.

nota

Esta política se proporciona únicamente con fines ilustrativos. En un entorno de producción, le recomendamos que utilice la política ViewOnlyAccess AWS administrada de IAM Identity Center.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ds:DescribeDirectories",
                "ds:DescribeTrusts",
                "iam:ListPolicies",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListParents",
                "organizations:ListChildren",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent",
                "sso:ListManagedPoliciesInPermissionSet",
                "sso:ListPermissionSetsProvisionedToAccount",
                "sso:ListAccountAssignments",
                "sso:ListAccountsForProvisionedPermissionSet",
                "sso:ListPermissionSets",
                "sso:DescribePermissionSet",
                "sso:GetInlinePolicyForPermissionSet",
                "sso-directory:DescribeDirectory",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups"
            ],
            "Resource": "*"
        }
    ]
}

Ejemplo 2: Permitir que un usuario administre los permisos Cuentas de AWS en IAM Identity Center

La siguiente política de permisos permite a un usuario crear, administrar y desplegar conjuntos de permisos para sus Cuentas de AWS.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:AttachManagedPolicyToPermissionSet",
                "sso:CreateAccountAssignment",
                "sso:CreatePermissionSet",
                "sso:DeleteAccountAssignment",
                "sso:DeleteInlinePolicyFromPermissionSet",
                "sso:DeletePermissionSet",
                "sso:DetachManagedPolicyFromPermissionSet",
                "sso:ProvisionPermissionSet",
                "sso:PutInlinePolicyToPermissionSet",
                "sso:UpdatePermissionSet"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IAMListPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AccessToSSOProvisionedRoles",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRole",
                "iam:ListAttachedRolePolicies",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:UpdateRole",
                "iam:UpdateRoleDescription"
            ],
            "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetSAMLProvider"
            ],
            "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE"
        }
    ]
}

nota

Los permisos adicionales que figuran en "Sid": "AccessToSSOProvisionedRoles" las secciones y son necesarios únicamente para que el usuario pueda crear asignaciones en la cuenta AWS Organizations de administración. "Sid": "IAMListPermissions" En algunos casos, es posible que también deba agregar iam:UpdateSAMLProvider a estas secciones.

Ejemplo 3: Permitir que un usuario administre aplicaciones en IAM Identity Center

La siguiente política de permisos otorga permisos que permiten al usuario ver y configurar aplicaciones en IAM Identity Center, incluidas las aplicaciones SaaS preintegradas desde IAM el catálogo de Identity Center.

nota

La operación sso:AssociateProfile utilizada en el siguiente ejemplo de política es necesaria para administrar las asignaciones de usuarios y grupos a las aplicaciones. También permite al usuario asignar usuarios y grupos Cuentas de AWS mediante los conjuntos de permisos existentes. Si un usuario debe administrar el Cuenta de AWS acceso dentro de IAM Identity Center y necesita los permisos necesarios para administrar los conjuntos de permisos, consulteEjemplo 2: Permitir que un usuario administre los permisos Cuentas de AWS en IAM Identity Center.

Desde octubre de 2020, muchas de estas operaciones solo están disponibles a través de la consola AWS . Este ejemplo de política incluye acciones de “lectura”, como enumerar, obtener y buscar, que, en este caso, son relevantes para que la consola funcione sin errores.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:AssociateProfile",
                "sso:CreateApplicationInstance",
                "sso:ImportApplicationInstanceServiceProviderMetadata",
                "sso:DeleteApplicationInstance",
                "sso:DeleteProfile",
                "sso:DisassociateProfile",
                "sso:GetApplicationTemplate",
                "sso:UpdateApplicationInstanceServiceProviderConfiguration",
                "sso:UpdateApplicationInstanceDisplayData",
                "sso:DeleteManagedApplicationInstance",
                "sso:UpdateApplicationInstanceStatus",
                "sso:GetManagedApplicationInstance",
                "sso:UpdateManagedApplicationInstanceStatus",
                "sso:CreateManagedApplicationInstance",
                "sso:UpdateApplicationInstanceSecurityConfiguration",
                "sso:UpdateApplicationInstanceResponseConfiguration",
                "sso:GetApplicationInstance",
                "sso:CreateApplicationInstanceCertificate",
                "sso:UpdateApplicationInstanceResponseSchemaConfiguration",
                "sso:UpdateApplicationInstanceActiveCertificate",
                "sso:DeleteApplicationInstanceCertificate",
                "sso:ListApplicationInstanceCertificates",
                "sso:ListApplicationTemplates",
                "sso:ListApplications",
                "sso:ListApplicationInstances",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso:ListProfileAssociations",
                "sso:ListInstances",
                "sso:GetProfile",
                "sso:GetSSOStatus",
                "sso:GetSsoConfiguration",
                "sso-directory:DescribeDirectory",
                "sso-directory:DescribeUsers",
                "sso-directory:ListMembersInGroup",
                "sso-directory:SearchGroups",
                "sso-directory:SearchUsers"
            ],
            "Resource": "*"
        }
    ]
}

Ejemplo 4: permitir a un usuario administrar usuarios y grupos en el directorio de Identity Center

La siguiente política de permisos otorga permisos que permiten a un usuario crear, ver, modificar y eliminar usuarios y grupos en IAM Identity Center.

En algunos casos, las modificaciones directas a los usuarios y grupos de IAM Identity Center están restringidas. Por ejemplo, cuando se selecciona Active Directory o un proveedor de identidades externo con el aprovisionamiento automático activado como fuente de identidad.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso-directory:ListGroupsForUser",
                "sso-directory:DisableUser",
                "sso-directory:EnableUser",
                "sso-directory:SearchGroups",
                "sso-directory:DeleteGroup",
                "sso-directory:AddMemberToGroup",
                "sso-directory:DescribeDirectory",
                "sso-directory:UpdateUser",
                "sso-directory:ListMembersInGroup",
                "sso-directory:CreateUser",
                "sso-directory:DescribeGroups",
                "sso-directory:SearchUsers",
                "sso:ListDirectoryAssociations",
                "sso-directory:RemoveMemberFromGroup",
                "sso-directory:DeleteUser",
                "sso-directory:DescribeUsers",
                "sso-directory:UpdateGroup",
                "sso-directory:CreateGroup"
            ],
            "Resource": "*"
        }
    ]
}

Se requieren permisos para usar la consola de IAM Identity Center

Para que un usuario pueda trabajar con la consola de IAM Identity Center sin errores, se necesitan permisos adicionales. Si se ha creado una IAM política que es más restrictiva que los permisos mínimos requeridos, la consola no funcionará según lo previsto para los usuarios con esa política. El siguiente ejemplo muestra el conjunto de permisos que podrían ser necesarios para garantizar un funcionamiento sin errores en la consola de IAM Identity Center.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:DescribeAccountAssignmentCreationStatus",
                "sso:DescribeAccountAssignmentDeletionStatus",
                "sso:DescribePermissionSet",
                "sso:DescribePermissionSetProvisioningStatus",
                "sso:DescribePermissionsPolicies",
                "sso:DescribeRegisteredRegions",
                "sso:GetApplicationInstance",
                "sso:GetApplicationTemplate",
                "sso:GetInlinePolicyForPermissionSet",
                "sso:GetManagedApplicationInstance",
                "sso:GetMfaDeviceManagementForDirectory",
                "sso:GetPermissionSet",
                "sso:GetPermissionsPolicy",
                "sso:GetProfile",
                "sso:GetSharedSsoConfiguration",
                "sso:GetSsoConfiguration",
                "sso:GetSSOStatus",
                "sso:GetTrust",
                "sso:ListAccountAssignmentCreationStatus",
                "sso:ListAccountAssignmentDeletionStatus",
                "sso:ListAccountAssignments",
                "sso:ListAccountsForProvisionedPermissionSet",
                "sso:ListApplicationInstanceCertificates",
                "sso:ListApplicationInstances",
                "sso:ListApplications",
                "sso:ListApplicationTemplates",
                "sso:ListDirectoryAssociations",
                "sso:ListInstances",
                "sso:ListManagedPoliciesInPermissionSet",
                "sso:ListPermissionSetProvisioningStatus",
                "sso:ListPermissionSets",
                "sso:ListPermissionSetsProvisionedToAccount",
                "sso:ListProfileAssociations",
                "sso:ListProfiles",
                "sso:ListTagsForResource",
                "sso-directory:DescribeDirectory",
                "sso-directory:DescribeGroups",
                "sso-directory:DescribeUsers",
                "sso-directory:ListGroupsForUser",
                "sso-directory:ListMembersInGroup",
                "sso-directory:SearchGroups",
                "sso-directory:SearchUsers"
            ],
            "Resource": "*"
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Información general sobre la administración del acceso

AWS políticas gestionadas