AWSSSOMasterAccountAdministrator AWSSSOMemberAccountAdministrator AWSSSODirectoryAdministrador AWSSSOReadSolo AWSSSODirectoryReadOnly AWSIdentitySyncFullAccess AWSIdentitySyncReadOnlyAccess AWSSSOServiceRolePolicy AWSIAMIdentityCenterAllowListForIdentityContext IAM Identity Center actualiza las políticas AWS gestionadas

AWS políticas gestionadas para el Centro de Identidad de IAM

Cómo crear políticas de IAM administradas por el cliente que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puede utilizar las políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas administradas de AWS , consulte Políticas administradas de AWS en la Guía del usuario de IAM.

AWS los servicios mantienen y AWS actualizan las políticas administradas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política gestionada por AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

Las nuevas acciones que permiten enumerar y eliminar las sesiones de los usuarios están disponibles en el nuevo espacio de nombres de identitystore-auth. Los permisos adicionales para las acciones de este espacio de nombres se actualizarán en esta página. Al crear sus políticas de IAM personalizadas, evite utilizar * después de identitystore-auth, ya que esto se aplica a todas las acciones que existan en el espacio de nombres ahora o en el futuro.

AWS política gestionada: AWSSSOMaster AccountAdministrator

La política AWSSSOMasterAccountAdministrator proporciona a las entidades principales las acciones administrativas necesarias. La política está destinada a los directores que desempeñan la función de AWS IAM Identity Center administradores. Con el tiempo, la lista de acciones proporcionada se actualizará para adaptarla a la funcionalidad actual de IAM Identity Center y a las acciones que se requieren como administrador.

Puede adjuntar la política AWSSSOMasterAccountAdministrator a las identidades de IAM. Cuando adjuntas la AWSSSOMasterAccountAdministrator política a una identidad, concedes AWS IAM Identity Center permisos administrativos. Los directores con esta política pueden acceder al Centro de Identidad de IAM desde la cuenta de AWS Organizations administración y desde todas las cuentas de los miembros. Esta entidad principal puede administrar por completo todas las operaciones de IAM Identity Center, incluida la posibilidad de crear una instancia de IAM Identity Center, los usuarios, los conjuntos de permisos y las asignaciones. El director también puede instanciar esas asignaciones en todas las cuentas de los miembros de la AWS organización y establecer conexiones entre los directorios AWS Directory Service gestionados y el IAM Identity Center. A medida que se publiquen nuevas características administrativas, el administrador de la cuenta recibirá estos permisos automáticamente.

Agrupaciones de permisos

Esta política se agrupa en instrucciones basadas en el conjunto de permisos proporcionados.

AWSSSOMasterAccountAdministrator: permite a IAM Identity Center transferir el rol de servicio designado como AWSServiceRoleforSSO a IAM Identity Center, para que más adelante pueda asumir el rol y realizar acciones en su nombre. Esto es necesario cuando la persona o la aplicación intenta habilitar IAM Identity Center. Para obtener más información, consulte Cuenta de AWS acceso.
AWSSSOMemberAccountAdministrator— Permite a IAM Identity Center realizar acciones de administrador de cuentas en un entorno de varias cuentas. AWS Para obtener más información, consulte AWS política gestionada: AWSSSOMember AccountAdministrator.
AWSSSOManageDelegatedAdministrator: permite a IAM Identity Center registrar y anular el registro de un administrador delegado para su organización.

Para ver los permisos de esta política, consulte la Referencia de políticas AWSSSOMasterAccountAdministratorAWS gestionadas.

Información adicional acerca de esta política

Cuando el Centro de Identidad de IAM se activa por primera vez, el servicio del Centro de Identidad de IAM crea un rol vinculado al servicio en la cuenta de AWS Organizations administración (anteriormente, cuenta maestra) para que el Centro de Identidad de IAM pueda administrar los recursos de su cuenta. Las acciones necesarias son iam:CreateServiceLinkedRole y iam:PassRole, que se muestran en los siguientes fragmentos.


{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "AWSSSOCreateSLR",
      "Effect" : "Allow",
      "Action" : "iam:CreateServiceLinkedRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:AWSServiceName" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMasterAccountAdministrator",
      "Effect" : "Allow",
      "Action" : "iam:PassRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:PassedToService" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMemberAccountAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "ds:DescribeTrusts",
        "ds:UnauthorizeApplication",
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "iam:ListPolicies",
        "organizations:EnableAWSServiceAccess",
        "organizations:ListRoots",
        "organizations:ListAccounts",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListAccountsForParent",
        "organizations:DescribeOrganization",
        "organizations:ListChildren",
        "organizations:DescribeAccount",
        "organizations:ListParents",
        "organizations:ListDelegatedAdministrators",
        "sso:*",
        "sso-directory:*",
        "identitystore:*",
        "identitystore-auth:*",
        "ds:CreateAlias",
        "access-analyzer:ValidatePolicy",
        "signin:CreateTrustedIdentityPropagationApplicationForConsole",
        "signin:ListTrustedIdentityPropagationApplicationsForConsole"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "AWSSSOManageDelegatedAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "organizations:ServicePrincipal" : "sso.amazonaws.com"
        }
      }
      },
      {
         "Sid": "AllowDeleteSyncProfile",
         "Effect": "Allow",
         "Action": [
                  "identity-sync:DeleteSyncProfile"
         ],
         "Resource": [
                  "arn:aws:identity-sync:*:*:profile/*"
         ]
    }
  ]
}

AWS política gestionada: AWSSSOMember AccountAdministrator

La política AWSSSOMemberAccountAdministrator proporciona a las entidades principales las acciones administrativas necesarias. La política está destinada a las entidades principales que desempeñan el rol de un administrador de IAM Identity Center. Con el tiempo, la lista de acciones proporcionada se actualizará para adaptarla a la funcionalidad actual de IAM Identity Center y a las acciones que se requieren como administrador.

Puede adjuntar la política AWSSSOMemberAccountAdministrator a las identidades de IAM. Cuando adjuntas la AWSSSOMemberAccountAdministrator política a una identidad, concedes AWS IAM Identity Center permisos administrativos. Los directores con esta política pueden acceder al Centro de Identidad de IAM desde la cuenta de AWS Organizations administración y desde todas las cuentas de los miembros. Esta entidad principal puede administrar por completo todas las operaciones de IAM Identity Center, incluida la capacidad de crear usuarios, conjuntos de permisos y asignaciones. El director también puede instanciar esas asignaciones en todas las cuentas de los miembros de la AWS organización y establecer conexiones entre los directorios AWS Directory Service gestionados y el IAM Identity Center. A medida que se publiquen nuevas características administrativas, el administrador de la cuenta recibe estos permisos automáticamente.

Para ver los permisos de esta política, consulte la Referencia de políticas AWSSSOMemberAccountAdministrator AWSgestionadas.

Información adicional acerca de esta política

Los administradores de IAM Identity Center administran a los usuarios, los grupos y las contraseñas en su almacén de directorios de Identity Center (sso-directory). El rol de administrador de la cuenta incluye permisos para las siguientes acciones:

"sso:*"
"sso-directory:*"

Los administradores del centro de identidad de IAM necesitan permisos limitados para realizar las siguientes AWS Directory Service acciones para realizar las tareas diarias.

"ds:DescribeTrusts"
"ds:UnauthorizeApplication"
"ds:DescribeDirectories"
"ds:AuthorizeApplication"
“ds:CreateAlias”

Estos permisos permiten a los administradores de IAM Identity Center identificar los directorios existentes y administrar aplicaciones para que puedan configurarse para su uso con IAM Identity Center. Para obtener más información acerca de cada una de estas acciones, consulte Permisos de la API de AWS Directory Service : referencia acerca de las acciones, los recursos y las condiciones.

IAM Identity Center utiliza las políticas de IAM para conceder permisos a los usuarios de IAM Identity Center. Los administradores de IAM Identity Center crean conjuntos de permisos y les adjuntan políticas. El administrador de IAM Identity Center debe tener los permisos para enumerar las políticas existentes, de modo que pueda elegir qué políticas usar con el conjunto de permisos que está creando o actualizando. Para establecer permisos seguros y funcionales, el administrador de IAM Identity Center debe tener permisos para ejecutar la validación de la política de IAM Access Analyzer.

"iam:ListPolicies"
"access-analyzer:ValidatePolicy"

Los administradores del centro de identidad de IAM necesitan un acceso limitado a las siguientes AWS Organizations acciones para realizar las tareas diarias:

"organizations:EnableAWSServiceAccess"
"organizations:ListRoots"
"organizations:ListAccounts"
"organizations:ListOrganizationalUnitsForParent"
"organizations:ListAccountsForParent"
"organizations:DescribeOrganization"
"organizations:ListChildren"
"organizations:DescribeAccount"
"organizations:ListParents"
"organizations:ListDelegatedAdministrators"
"organizations:RegisterDelegatedAdministrator"
"organizations:DeregisterDelegatedAdministrator"

Estos permisos permiten a los administradores de IAM Identity Center trabajar con los recursos de la organización (cuentas) para realizar tareas administrativas básicas de IAM Identity Center, como las siguientes:

Identificación de la cuenta de administración que pertenece a la organización
Identificación de las cuentas de los miembros que pertenecen a la organización
Habilitar el acceso AWS al servicio para las cuentas
Configuración y administración de un administrador delegado

Para obtener más información acerca de cómo hacer uso de un administrador delegado con IAM Identity Center, consulte Administración delegada. Para obtener más información sobre cómo se utilizan estos permisos AWS Organizations, consulte Uso AWS Organizations con otros AWS servicios.

AWS política gestionada: AWSSSODirectory administrador

Puede adjuntar la política AWSSSODirectoryAdministrator a las identidades de IAM.

Esta política concede permisos administrativos a los usuarios y grupos de IAM Identity Center. Las entidades principales que cuentan con esta política adjunta pueden realizar cualquier actualización a los usuarios y grupos de IAM Identity Center.

Para ver los permisos de esta política, consulte AWSSSODirectoryAdministrator en AWS Managed Policy Reference.

AWS política gestionada: AWSSSORead únicamente

Puede adjuntar la política AWSSSOReadOnly a las identidades de IAM.

Esta política otorga permisos de solo lectura que permiten a los usuarios ver información en IAM Identity Center. Las entidades principales que cuentan con esta política adjunta no pueden ver los usuarios y grupos de IAM Identity Center directamente. Las entidades principales que cuentan con esta política adjunta no pueden realizar ninguna actualización en IAM Identity Center. Por ejemplo, las entidades principales que cuentan con estos permisos pueden visualizar los ajustes de IAM Identity Center, pero no pueden cambiar ninguno de los valores de la configuración.

Para ver los permisos de esta política, consulte AWSSSOReadSolo en la referencia de políticas AWS gestionadas.

AWS política gestionada: AWSSSODirectory ReadOnly

Puede adjuntar la política AWSSSODirectoryReadOnly a las identidades de IAM.

Esta política concede permisos de solo lectura que permiten a los usuarios ver los usuarios y grupos en IAM Identity Center. Las entidades principales que cuentan con esta política adjunta no pueden ver las asignaciones, los conjuntos de permisos, las aplicaciones ni los ajustes de IAM Identity Center. Las entidades principales que cuentan con esta política adjunta no pueden realizar ninguna actualización en IAM Identity Center. Por ejemplo, las entidades principales que cuentan con estos permisos pueden ver los usuarios de IAM Identity Center, pero no pueden cambiar ningún atributo de usuario ni asignar dispositivos de MFA.

Para ver los permisos de esta política, consulte la Referencia AWSSSODirectoryReadOnlyde políticas AWS gestionadas.

AWS política gestionada: AWSIdentity SyncFullAccess

Puede adjuntar la política AWSIdentitySyncFullAccess a las identidades de IAM.

Las entidades principales que cuentan con esta política adjunta tienen permisos de acceso total para crear y eliminar perfiles de sincronización, asociar o actualizar un perfil de sincronización con un destino de sincronización, crear, enumerar y eliminar filtros de sincronización, e iniciar o detener la sincronización.

Detalles del permiso

Para ver los permisos de esta política, consulte la Referencia AWSIdentitySyncFullAccessde políticas AWS gestionadas.

AWS política gestionada: AWSIdentity SyncReadOnlyAccess

Puede adjuntar la política AWSIdentitySyncReadOnlyAccess a las identidades de IAM.

Esta política concede permisos de solo lectura que permiten a los usuarios ver información sobre el perfil de sincronización de identidades, los filtros y la configuración de destino. Las entidades principales que cuentan con esta política adjunta no pueden actualizar la configuración de sincronización. Por ejemplo, las entidades principales que cuentan con estos permisos pueden visualizar los ajustes de sincronización de identidades, pero no pueden cambiar ninguno de los valores del perfil o del filtro.

Para ver los permisos de esta política, consulte la Referencia AWSIdentitySyncReadOnlyAccessde políticas AWS gestionadas.

AWS política gestionada: AWSSSOService RolePolicy

No puede adjuntar la política AWSSSOServiceRolePolicy a las identidades de IAM.

Esta política está asociada a una función vinculada al servicio que permite a IAM Identity Center delegar y hacer cumplir qué usuarios tienen acceso de inicio de sesión único a una entrada específica. Cuentas de AWS AWS Organizations Al habilitar la IAM, se crea una función vinculada al servicio en todos los ámbitos de la organización. Cuentas de AWS IAM Identity Center también crea el mismo rol vinculado a servicios en todas las cuentas que se añaden posteriormente a su organización. Este rol permite a IAM Identity Center acceder a los recursos de cada cuenta en su nombre. Los roles vinculados al servicio que se crean en cada uno de ellos reciben un nombre. Cuenta de AWS AWSServiceRoleForSSO Para obtener más información, consulte Uso de roles vinculados a servicios para IAM Identity Center.

AWS política gestionada: AWSIAMIdentity CenterAllowListForIdentityContext

Al asumir un rol con el contexto de identidad del Centro de Identidad de IAM, AWS Security Token Service (AWS STS) asocia automáticamente la AWSIAMIdentityCenterAllowListForIdentityContext política al rol.

Esta política proporciona la lista de acciones que se permiten cuando se utiliza la propagación de identidades de confianza con roles que se asumen con el contexto de identidad de IAM Identity Center. Se bloquearán todas las demás acciones que se invoquen en este contexto. El contexto de identidad se transmite como ProvidedContext.

Para ver los permisos de esta política, consulte la Referencia de políticas AWSIAMIdentityCenterAllowListForIdentityContextAWS gestionadas.

IAM Identity Center actualiza las políticas AWS gestionadas

En la siguiente tabla se describen las actualizaciones de las políticas AWS gestionadas del Centro de Identidad de IAM desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre los cambios que se produzcan en esta página, suscríbase al canal RSS en la página de historial de documentos de IAM Identity Center.

Cambio	Descripción	Fecha
AWSIAMIdentityCenterAllowListForIdentityContext	Esta política ahora incluye las `qapps:ExportQAppSessionData` acciones necesarias para respaldar `qapps:ListQAppSessionData` las sesiones de consola con reconocimiento de identidad para las aplicaciones AWS administradas que admiten estas sesiones.	2 de octubre de 2024
AWSSSOMasterAccountAdministrator	El Centro de Identidad de IAM ha añadido una nueva acción para conceder DeleteSyncProfile permisos que le permitan utilizar esta política para eliminar los perfiles de sincronización. Esta acción está asociada a la DeleteInstance API.	26 de septiembre de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Esta política ahora incluye la `s3:ListCallerAccessGrants` acción para admitir las sesiones de consola con reconocimiento de identidad para las aplicaciones AWS administradas que admiten estas sesiones.	4 de septiembre de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Esta política ahora incluye las`aoss:APIAccessAll`,, `es:ESHttpHead` `es:ESHttpPost` `es:ESHttpGet` `es:ESHttpPatches:ESHttpDelete`, y `es:ESHttpPut` las acciones para respaldar las sesiones de consola con reconocimiento de identidad para las aplicaciones AWS administradas que admiten estas sesiones.	12 de julio de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Esta política ahora incluye las`qapps:PredictQApp`,,, `qapps:ImportDocument` `qapps:AssociateLibraryItemReview` `qapps:DisassociateLibraryItemReview` `qapps:GetQAppSession` `qapps:UpdateQAppSession` `qapps:GetQAppSessionMetadataqapps:UpdateQAppSessionMetadata`, y `qapps:TagResource` las acciones para respaldar las sesiones de consola con reconocimiento de identidad para las aplicaciones AWS administradas que admiten estas sesiones.	27 de junio de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Esta política ahora incluye las acciones `elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:DescribeCluster`, `elasticmapreduce:CancelSteps`, `elasticmapreduce:DescribeStep` y `elasticmapreduce:ListSteps` para respaldar la propagación de identidades confiables en Amazon EMR.	17 de mayo de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Esta política ahora incluye las`qapps:CreateQApp`,,`qapps:PredictProblemStatementFromConversation`,`qapps:PredictQAppFromProblemStatement`,,`qapps:CopyQApp`,`qapps:GetQApp`,`qapps:ListQApps`,`qapps:UpdateQApp`,`qapps:DeleteQApp`,,`qapps:AssociateQAppWithUser`,`qapps:DisassociateQAppFromUser`,`qapps:ImportDocumentToQApp`,`qapps:ImportDocumentToQAppSession`, `qapps:CreateLibraryItem` `qapps:GetLibraryItem` `qapps:UpdateLibraryItem` `qapps:CreateLibraryItemReview` `qapps:ListLibraryItems` `qapps:CreateSubscriptionTokenqapps:StartQAppSession`, y `qapps:StopQAppSession` las acciones para respaldar las sesiones de consola con reconocimiento de identidad para las aplicaciones AWS administradas que admiten estas sesiones.	30 de abril de 2024
AWSSSOMasterAccountAdministrator	Esta política ahora incluye `signin:ListTrustedIdentityPropagationApplicationsForConsole` las acciones necesarias para respaldar `signin:CreateTrustedIdentityPropagationApplicationForConsole` las sesiones de consola con reconocimiento de identidad para las aplicaciones AWS administradas que admiten estas sesiones.	26 de abril de 2024
AWSSSOMemberAccountAdministrator	Esta política ahora incluye `signin:ListTrustedIdentityPropagationApplicationsForConsole` las acciones necesarias para respaldar `signin:CreateTrustedIdentityPropagationApplicationForConsole` las sesiones de consola con reconocimiento de identidad para las aplicaciones AWS administradas que admiten estas sesiones.	26 de abril de 2024
AWSSSOReadSolo	Esta política ahora incluye la `signin:ListTrustedIdentityPropagationApplicationsForConsole` acción de admitir las sesiones de consola con reconocimiento de identidad para las aplicaciones AWS administradas que admiten estas sesiones.	26 de abril de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Esta política ahora incluye la `qbusiness:PutFeedback` acción para respaldar las sesiones de consola con reconocimiento de identidad para las aplicaciones AWS administradas que admiten estas sesiones.	26 de abril de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Esta política ahora incluye las`q:StartConversation`,,, `q:SendMessage` `q:ListConversations` `q:GetConversation` `q:StartTroubleshootingAnalysis` `q:GetTroubleshootingResultsq:StartTroubleshootingResolutionExplanation`, y `q:UpdateTroubleshootingCommandResult` las acciones para respaldar las sesiones de consola con reconocimiento de identidad para las aplicaciones AWS administradas que admiten estas sesiones.	24 de abril de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Esta política ahora incluye la `sts:SetContext` acción para respaldar las sesiones de consola con reconocimiento de identidad para las aplicaciones AWS administradas que admiten estas sesiones.	19 de abril de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Esta política ahora incluye las`qbusiness:Chat`, `qbusiness:ChatSync` `qbusiness:ListConversationsqbusiness:ListMessages`, y `qbusiness:DeleteConversation` las acciones para respaldar las sesiones de consola con reconocimiento de identidad para las aplicaciones AWS administradas que admiten estas sesiones.	11 de abril de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	La política ahora incluye las acciones `s3:GetAccessGrantsInstanceForPrefix` y `s3:GetDataAccess`.	26 de noviembre de 2023
AWSIAMIdentityCenterAllowListForIdentityContext	Esta política proporciona la lista de acciones que se permiten cuando se utiliza la propagación de identidades de confianza con roles que se asumen con el contexto de identidad de IAM Identity Center.	15 de noviembre de 2023
AWSSSODirectoryReadOnly	Ahora esta política incluye el nuevo espacio de nombres de `identitystore-auth` con nuevos permisos que permiten a los usuarios enumerar y obtener sesiones.	21 de febrero de 2023
AWSSSOServiceRolePolicy	Ahora esta política permite realizar la acción `UpdateSAMLProvider` en la cuenta de administración.	20 de octubre de 2022
AWSSSOMasterAccountAdministrator	Ahora esta política incluye el nuevo espacio de nombres de `identitystore-auth` con nuevos permisos que permiten al administrador enumerar y eliminar sesiones de un usuario.	20 de octubre de 2022
AWSSSOMemberAccountAdministrator	Ahora esta política incluye el nuevo espacio de nombres de `identitystore-auth` con nuevos permisos que permiten al administrador enumerar y eliminar sesiones de un usuario.	20 de octubre de 2022
AWSSSODirectoryAdministrador	Ahora esta política incluye el nuevo espacio de nombres de `identitystore-auth` con nuevos permisos que permiten al administrador enumerar y eliminar sesiones de un usuario.	20 de octubre de 2022
AWSSSOMasterAccountAdministrator	Esta política ahora incluye nuevos permisos para realizar llamadas`ListDelegatedAdministrators`. AWS Organizations Ahora esta política también incluye un subconjunto de permisos de `AWSSSOManageDelegatedAdministrator` que incluye permisos para realizar llamadas a `RegisterDelegatedAdministrator` y `DeregisterDelegatedAdministrator`.	16 de agosto de 2022
AWSSSOMemberAccountAdministrator	Esta política ahora incluye nuevos permisos para llamar `ListDelegatedAdministrators` AWS Organizations. Ahora esta política también incluye un subconjunto de permisos de `AWSSSOManageDelegatedAdministrator` que incluye permisos para realizar llamadas a `RegisterDelegatedAdministrator` y `DeregisterDelegatedAdministrator`.	16 de agosto de 2022
AWSSSOReadSolo	Esta política ahora incluye nuevos permisos para llamar `ListDelegatedAdministrators` AWS Organizations.	11 de agosto de 2022
AWSSSOServiceRolePolicy	Ahora esta política incluye nuevos permisos para realizar llamadas a `DeleteRolePermissionsBoundary` en `PutRolePermisionsBoundary`.	14 de julio de 2022
AWSSSOServiceRolePolicy	Ahora esta política incluye nuevos permisos para realizar llamadas a `ListAWSServiceAccessForOrganization and ListDelegatedAdministrators` en AWS Organizations.	11 de mayo de 2022
AWSSSOMasterAccountAdministrator AWSSSOMemberAccountAdministrator AWSSSOReadSolo	Agregue permisos de IAM Access Analyzer para permitir a una entidad principal utilizar las verificaciones de políticas para la validación.	28 de abril de 2022
AWSSSOMasterAccountAdministrator	Ahora esta política permite todas las acciones del servicio Almacén de identidades de IAM Identity Center. Para obtener información acerca de las acciones disponibles en el servicio de almacén de identidades de IAM, consulte Referencia de la API del servicio Almacén de identidades de IAM Identity Center.	29 de marzo de 2022
AWSSSOMemberAccountAdministrator	Ahora esta política permite todas las acciones del servicio Almacén de identidades de IAM Identity Center.	29 de marzo de 2022
AWSSSODirectoryAdministrador	Ahora esta política permite todas las acciones del servicio Almacén de identidades de IAM Identity Center.	29 de marzo de 2022
AWSSSODirectoryReadOnly	Ahora esta política concede acceso a las acciones de lectura del servicio Almacén de identidades de IAM Identity Center. Este acceso es necesario para recuperar la información de los usuarios y los grupos del servicio Almacén de identidades de IAM Identity Center.	29 de marzo de 2022
AWSIdentitySyncFullAccess	Esta política permite obtener acceso completo a permisos de sincronización de identidades.	3 de marzo de 2022
AWSIdentitySyncReadOnlyAccess	Esta política concede permisos de solo lectura que permiten a una entidad principal visualizar la configuración de la sincronización de identidades.	3 de marzo de 2022
AWSSSOReadSolo	Esta política concede permisos de solo lectura que permiten a una entidad principal visualizar los ajustes de configuración de IAM Identity Center.	4 de agosto de 2021
IAM Identity Center comenzó a realizar el seguimiento de los cambios	IAM Identity Center comenzó a realizar un seguimiento de los cambios en las políticas AWS gestionadas.	4 de agosto de 2021

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Políticas basadas en identidades (políticas de IAM)

Uso de roles vinculados a servicios