Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur l'identité pour IAM Identity Center
Cette rubrique fournit des exemples de IAM politiques que vous pouvez créer pour accorder aux utilisateurs et aux rôles les autorisations nécessaires à l'administration IAM d'Identity Center.
Important
Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès aux ressources de votre IAM Identity Center. Pour de plus amples informations, veuillez consulter Présentation de la gestion des autorisations d'accès aux ressources de votre IAM Identity Center.
Les sections de cette rubrique couvrent les sujets suivants :
Exemples de politiques personnalisées
Cette section fournit des exemples de cas d'utilisation courants qui nécessitent une IAM politique personnalisée. Ces exemples de politiques sont des politiques basées sur l'identité, qui ne spécifient pas l'élément principal. En effet, avec une politique basée sur l'identité, vous ne spécifiez pas le principal qui obtient l'autorisation. Au lieu de cela, vous attachez la politique au principal. Lorsque vous associez une politique d'autorisation basée sur l'identité à un IAM rôle, le principal identifié dans la politique de confiance du rôle obtient les autorisations. Vous pouvez créer des politiques basées sur l'identité IAM et les associer à des utilisateurs, des groupes et/ou des rôles. Vous pouvez également appliquer ces politiques aux utilisateurs IAM d'Identity Center lorsque vous créez un ensemble d'autorisations dans IAM Identity Center.
Note
Utilisez ces exemples lorsque vous créez des politiques pour votre environnement et assurez-vous de tester les cas positifs (« accès accordé ») et négatifs (« accès refusé ») avant de déployer ces politiques dans votre environnement de production. Pour plus d'informations sur IAM les politiques de test, consultez la section Tester IAM les politiques avec le simulateur de IAM politiques dans le guide de IAM l'utilisateur.
Rubriques
- Exemple 1 : Autoriser un utilisateur à consulter IAM Identity Center
- Exemple 2 : Autoriser un utilisateur à gérer les autorisations Comptes AWS dans IAM Identity Center
- Exemple 3 : autoriser un utilisateur à gérer des applications dans IAM Identity Center
- Exemple 4 : autoriser un utilisateur à gérer les utilisateurs et les groupes dans votre annuaire Identity Center
Exemple 1 : Autoriser un utilisateur à consulter IAM Identity Center
La politique d'autorisation suivante accorde des autorisations en lecture seule à un utilisateur afin qu'il puisse consulter tous les paramètres et informations d'annuaire configurés dans IAM Identity Center.
Note
Cette politique n'est fournie qu'à titre d'exemple. Dans un environnement de production, nous vous recommandons d'utiliser la politique ViewOnlyAccess AWS gérée pour IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "ds:DescribeTrusts", "iam:ListPolicies", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListPermissionSets", "sso:DescribePermissionSet", "sso:GetInlinePolicyForPermissionSet", "sso-directory:DescribeDirectory", "sso-directory:SearchUsers", "sso-directory:SearchGroups" ], "Resource": "*" } ] }
Exemple 2 : Autoriser un utilisateur à gérer les autorisations Comptes AWS dans IAM Identity Center
La politique d'autorisation suivante accorde des autorisations permettant à un utilisateur de créer, de gérer et de déployer des ensembles d'autorisations pour votre Comptes AWS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AttachManagedPolicyToPermissionSet", "sso:CreateAccountAssignment", "sso:CreatePermissionSet", "sso:DeleteAccountAssignment", "sso:DeleteInlinePolicyFromPermissionSet", "sso:DeletePermissionSet", "sso:DetachManagedPolicyFromPermissionSet", "sso:ProvisionPermissionSet", "sso:PutInlinePolicyToPermissionSet", "sso:UpdatePermissionSet" ], "Resource": "*" }, { "Sid": "IAMListPermissions", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "AccessToSSOProvisionedRoles", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" }, { "Effect": "Allow", "Action": [ "iam:GetSAMLProvider" ], "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE" } ] }
Note
Les autorisations supplémentaires répertoriées sous "Sid": "IAMListPermissions" les "Sid": "AccessToSSOProvisionedRoles" sections et sont requises uniquement pour permettre à l'utilisateur de créer des attributions dans le compte AWS Organizations de gestion. Dans certains cas, vous devrez peut-être également ajouter des éléments iam:UpdateSAMLProvider à ces sections.
Exemple 3 : autoriser un utilisateur à gérer des applications dans IAM Identity Center
La politique d'autorisation suivante accorde des autorisations permettant à un utilisateur de visualiser et de configurer des applications dans IAM Identity Center, y compris des applications SaaS préintégrées issues du catalogue IAM Identity Center.
Note
L'sso:AssociateProfileopération utilisée dans l'exemple de politique suivant est requise pour la gestion des affectations d'utilisateurs et de groupes aux applications. Il permet également à un utilisateur d'attribuer des utilisateurs et des groupes à Comptes AWS l'aide des ensembles d'autorisations existants. Si un utilisateur doit gérer l' Compte AWS accès au sein IAM d'Identity Center et a besoin des autorisations nécessaires pour gérer les ensembles d'autorisations, consultezExemple 2 : Autoriser un utilisateur à gérer les autorisations Comptes AWS dans IAM Identity Center.
Depuis octobre 2020, bon nombre de ces opérations ne sont disponibles que via la AWS console. Cet exemple de politique inclut des actions de « lecture » telles que list, get et search, qui sont pertinentes pour le fonctionnement sans erreur de la console dans ce cas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:ImportApplicationInstanceServiceProviderMetadata", "sso:DeleteApplicationInstance", "sso:DeleteProfile", "sso:DisassociateProfile", "sso:GetApplicationTemplate", "sso:UpdateApplicationInstanceServiceProviderConfiguration", "sso:UpdateApplicationInstanceDisplayData", "sso:DeleteManagedApplicationInstance", "sso:UpdateApplicationInstanceStatus", "sso:GetManagedApplicationInstance", "sso:UpdateManagedApplicationInstanceStatus", "sso:CreateManagedApplicationInstance", "sso:UpdateApplicationInstanceSecurityConfiguration", "sso:UpdateApplicationInstanceResponseConfiguration", "sso:GetApplicationInstance", "sso:CreateApplicationInstanceCertificate", "sso:UpdateApplicationInstanceResponseSchemaConfiguration", "sso:UpdateApplicationInstanceActiveCertificate", "sso:DeleteApplicationInstanceCertificate", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationTemplates", "sso:ListApplications", "sso:ListApplicationInstances", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso:ListProfileAssociations", "sso:ListInstances", "sso:GetProfile", "sso:GetSSOStatus", "sso:GetSsoConfiguration", "sso-directory:DescribeDirectory", "sso-directory:DescribeUsers", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
Exemple 4 : autoriser un utilisateur à gérer les utilisateurs et les groupes dans votre annuaire Identity Center
La politique d'autorisation suivante accorde des autorisations permettant à un utilisateur de créer, d'afficher, de modifier et de supprimer des utilisateurs et des groupes dans IAM Identity Center.
Dans certains cas, les modifications directes apportées aux utilisateurs et aux groupes dans IAM Identity Center sont limitées. Par exemple, lorsqu'Active Directory ou un fournisseur d'identité externe avec le provisionnement automatique activé est sélectionné comme source d'identité.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:DisableUser", "sso-directory:EnableUser", "sso-directory:SearchGroups", "sso-directory:DeleteGroup", "sso-directory:AddMemberToGroup", "sso-directory:DescribeDirectory", "sso-directory:UpdateUser", "sso-directory:ListMembersInGroup", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:SearchUsers", "sso:ListDirectoryAssociations", "sso-directory:RemoveMemberFromGroup", "sso-directory:DeleteUser", "sso-directory:DescribeUsers", "sso-directory:UpdateGroup", "sso-directory:CreateGroup" ], "Resource": "*" } ] }
Autorisations requises pour utiliser la console IAM Identity Center
Pour qu'un utilisateur puisse utiliser la console IAM Identity Center sans erreur, des autorisations supplémentaires sont nécessaires. Si une IAM politique plus restrictive que les autorisations minimales requises a été créée, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique. L'exemple suivant répertorie l'ensemble des autorisations qui peuvent être nécessaires pour garantir un fonctionnement sans erreur dans la console IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:DescribeAccountAssignmentCreationStatus", "sso:DescribeAccountAssignmentDeletionStatus", "sso:DescribePermissionSet", "sso:DescribePermissionSetProvisioningStatus", "sso:DescribePermissionsPolicies", "sso:DescribeRegisteredRegions", "sso:GetApplicationInstance", "sso:GetApplicationTemplate", "sso:GetInlinePolicyForPermissionSet", "sso:GetManagedApplicationInstance", "sso:GetMfaDeviceManagementForDirectory", "sso:GetPermissionSet", "sso:GetPermissionsPolicy", "sso:GetProfile", "sso:GetSharedSsoConfiguration", "sso:GetSsoConfiguration", "sso:GetSSOStatus", "sso:GetTrust", "sso:ListAccountAssignmentCreationStatus", "sso:ListAccountAssignmentDeletionStatus", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationInstances", "sso:ListApplications", "sso:ListApplicationTemplates", "sso:ListDirectoryAssociations", "sso:ListInstances", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetProvisioningStatus", "sso:ListPermissionSets", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListProfileAssociations", "sso:ListProfiles", "sso:ListTagsForResource", "sso-directory:DescribeDirectory", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso-directory:ListGroupsForUser", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
