Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de roles vinculados a servicios para Identity Center IAM
AWS IAM Identity Center usa AWS Identity and Access Management (IAM) roles vinculados al servicio. Un rol vinculado a un servicio es un tipo único de IAM rol que está vinculado directamente a Identity Center. IAM IAMIdentity Center lo predefine e incluye todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre. Para obtener más información, consulte Descripción de las funciones vinculadas al servicio en Identity Center IAM.
Un rol vinculado a un servicio facilita la configuración de IAM Identity Center, ya que no es necesario añadir manualmente los permisos necesarios. IAMIdentity Center define los permisos de su función vinculada al servicio y, a menos que se defina lo contrario, solo IAM Identity Center puede asumir su función. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.
Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS Servicios con los que funcionan IAM y busque los servicios con los que se indica Sí en la columna Función vinculada al servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.
Permisos de rol vinculados al servicio para Identity Center IAM
IAMIdentity Center usa el rol vinculado al servicio denominado AWSServiceRoleForSSOpara conceder permisos a IAM Identity Center para administrar los AWS recursos, incluidos los IAM roles, las políticas y el SAML IdP en su nombre.
El rol AWSServiceRoleForSSO vinculado al servicio confía en los siguientes servicios para asumir el rol:
-
IAMIdentity Center (prefijo de servicio:)
sso
La política de permisos de funciones AWSServiceRoleForSSO vinculadas al servicio permite a IAM Identity Center realizar lo siguiente en las funciones de la ruta «/aws-reserved/sso.amazonaws.com/» y con el prefijo de nombre «_»: AWSReservedSSO
-
iam:AttachRolePolicy -
iam:CreateRole -
iam:DeleteRole -
iam:DeleteRolePermissionsBoundary -
iam:DeleteRolePolicy -
iam:DetachRolePolicy -
iam:GetRole -
iam:ListRolePolicies -
iam:PutRolePolicy -
iam:PutRolePermissionsBoundary -
iam:ListAttachedRolePolicies
La política de permisos de roles AWSServiceRoleForSSO vinculados al servicio permite a Identity Center completar lo siguiente en los proveedores con el prefijo de nombre «_»: IAM SAML AWSSSO
-
iam:CreateSAMLProvider -
iam:GetSAMLProvider -
iam:UpdateSAMLProvider -
iam:DeleteSAMLProvider
La política de permisos de roles AWSServiceRoleForSSO vinculados al servicio permite a IAM Identity Center realizar lo siguiente en todas las organizaciones:
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
La política de permisos de funciones AWSServiceRoleForSSO vinculadas al servicio permite a IAM Identity Center realizar las siguientes tareas en todas las IAM funciones (*):
-
iam:listRoles
La política de permisos de roles AWSServiceRoleForSSO vinculados al servicio permite a IAM Identity Center completar lo siguiente en «arn:aws:iam: :*:»: role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO
-
iam:GetServiceLinkedRoleDeletionStatus -
iam:DeleteServiceLinkedRole
La política de permisos de roles permite a IAM Identity Center realizar las siguientes acciones en los recursos.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }
Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte los permisos de los roles vinculados a un servicio en la Guía del usuario. IAM
Crear un rol vinculado a un servicio para Identity Center IAM
No necesita crear manualmente un rol vinculado a servicios. Una vez activado, IAM Identity Center crea un rol vinculado al servicio en todas las cuentas de la organización en Organizations AWS . IAMIdentity Center también crea el mismo rol vinculado al servicio en todas las cuentas que se agregan posteriormente a la organización. Esta función permite a IAM Identity Center acceder a los recursos de cada cuenta en su nombre.
Notas
-
Si ha iniciado sesión en la cuenta de AWS Organizations administración, esta utilizará su función con la que ha iniciado sesión actualmente y no la función vinculada al servicio. De este modo se evita la escalada de privilegios.
-
Cuando IAM Identity Center realiza cualquier IAM operación en la cuenta de AWS Organizations administración, todas las operaciones se realizan con las credenciales del principal. IAM Esto permite que los inicios de sesión CloudTrail proporcionen visibilidad de quién realizó todos los cambios de privilegios en la cuenta de administración.
importante
Si utilizaba el servicio IAM Identity Center antes del 7 de diciembre de 2017, cuando comenzó a admitir funciones vinculadas al servicio, IAM Identity Center creó la AWSServiceRoleForSSO función en su cuenta. Para obtener más información, consulte Apareció un nuevo rol en mi IAM cuenta.
Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede seguir el mismo proceso para volver a crear el rol en su cuenta.
Edición de un rol vinculado a un servicio para Identity Center IAM
IAMIdentity Center no permite editar el rol vinculado al AWSServiceRoleForSSO servicio. Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.
Eliminar un rol vinculado a un servicio para Identity Center IAM
No es necesario eliminar el rol manualmente. AWSServiceRoleForSSO Cuando Cuenta de AWS se elimina a un empleado de una AWS organización, IAM Identity Center limpia automáticamente los recursos y elimina el rol vinculado al servicio. Cuenta de AWS
También puede usar la IAM consola, la o la IAM CLI para eliminar manualmente la función IAM API vinculada al servicio. Para ello, primero debe limpiar manualmente los recursos del rol vinculado al servicio para poder eliminarlo después manualmente.
nota
Si el servicio IAM Identity Center utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar los recursos del Centro de IAM Identidad utilizados por el AWSServiceRoleForSSO
-
Elimine el acceso de usuarios y grupos a una Cuenta de AWS para todos los usuarios y grupos que tengan acceso a la Cuenta de AWS.
-
Elimine los conjuntos de permisos en IAM Identity Center que ha asociado con la Cuenta de AWS.
Para eliminar manualmente el rol vinculado al servicio mediante IAM
Utilice la IAM consola IAMCLI, la o la IAM API para eliminar la función vinculada al AWSServiceRoleForSSO servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM
