AWSSSOMasterAccountAdministrator AWSSSOMemberAccountAdministrator AWSSSODirectoryAdministrateur AWSSSOReadUniquement AWSSSODirectoryReadOnly AWSIdentitySyncFullAccess AWSIdentitySyncReadOnlyAccess AWSSSOServiceRolePolicy AWSIAMIdentityCenterAllowListForIdentityContext Mises à jour des politiques AWS gérées par IAM Identity Center

AWS politiques gérées pour IAM Identity Center

La création de politiques gérées par les clients IAM qui fournissent à votre équipe uniquement les autorisations dont elle a besoin demande du temps et de l'expertise. Pour démarrer rapidement, vous pouvez utiliser des politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d’informations sur les politiques gérées AWS , consultez Politiques gérées AWS dans le Guide de l’utilisateur IAM.

AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l’utilisateur IAM.

De nouvelles actions vous permettant de répertorier et de supprimer des sessions utilisateur sont disponibles dans le nouvel espace de nomsidentitystore-auth. Toutes les autorisations supplémentaires pour les actions dans cet espace de noms seront mises à jour sur cette page. Lorsque vous créez vos politiques IAM personnalisées, évitez d'utiliser * after, identitystore-auth car cela s'applique à toutes les actions existant dans l'espace de noms aujourd'hui ou à l'avenir.

AWS politique gérée : AWSSSOMaster AccountAdministrator

La AWSSSOMasterAccountAdministrator politique fournit les mesures administratives requises aux directeurs d'école. La politique est destinée aux directeurs qui jouent le rôle d' AWS IAM Identity Center administrateur. Au fil du temps, la liste des actions fournies sera mise à jour pour correspondre aux fonctionnalités existantes d'IAM Identity Center et aux actions requises en tant qu'administrateur.

Vous pouvez associer la politique AWSSSOMasterAccountAdministrator à vos identités IAM. Lorsque vous associez la AWSSSOMasterAccountAdministrator politique à une identité, vous accordez AWS IAM Identity Center des autorisations administratives. Les principaux détenteurs de cette politique peuvent accéder à IAM Identity Center depuis le compte de AWS Organizations gestion et tous les comptes des membres. Ce principal peut gérer entièrement toutes les opérations du centre d'identité IAM, y compris la possibilité de créer une instance d'IAM Identity Center, des utilisateurs, des ensembles d'autorisations et des attributions. Le principal peut également instancier ces attributions dans les comptes des membres de l' AWS organisation et établir des connexions entre les annuaires AWS Directory Service gérés et IAM Identity Center. Au fur et à mesure que de nouvelles fonctionnalités administratives seront publiées, ces autorisations seront automatiquement accordées à l'administrateur du compte.

Regroupements d'autorisations

Cette politique est groupée en instructions basées sur le jeu d'autorisations fourni.

AWSSSOMasterAccountAdministrator— Permet à IAM Identity Center de transmettre le rôle de service nommé AWSServiceRoleforSSO à IAM Identity Center afin qu'il puisse ultérieurement assumer le rôle et effectuer des actions en son nom. Cela est nécessaire lorsque la personne ou l'application tente d'activer IAM Identity Center. Pour de plus amples informations, veuillez consulter Compte AWS accès.
AWSSSOMemberAccountAdministrator— Permet à IAM Identity Center d'effectuer des actions d'administrateur de compte dans un environnement multi-comptes AWS . Pour de plus amples informations, veuillez consulter AWS politique gérée : AWSSSOMember AccountAdministrator.
AWSSSOManageDelegatedAdministrator— Permet à IAM Identity Center d'enregistrer et de désenregistrer un administrateur délégué pour votre organisation.

Pour consulter les autorisations associées à cette politique, reportez-vous AWSSSOMasterAccountAdministratorà la section AWS Managed Policy Reference.

Informations supplémentaires sur cette politique

Lorsque IAM Identity Center est activé pour la première fois, le service IAM Identity Center crée un rôle lié au service dans le compte de AWS Organizations gestion (ancien compte principal) afin que IAM Identity Center puisse gérer les ressources de votre compte. Les actions requises sont iam:CreateServiceLinkedRole etiam:PassRole, comme indiqué dans les extraits suivants.


{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "AWSSSOCreateSLR",
      "Effect" : "Allow",
      "Action" : "iam:CreateServiceLinkedRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:AWSServiceName" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMasterAccountAdministrator",
      "Effect" : "Allow",
      "Action" : "iam:PassRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:PassedToService" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMemberAccountAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "ds:DescribeTrusts",
        "ds:UnauthorizeApplication",
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "iam:ListPolicies",
        "organizations:EnableAWSServiceAccess",
        "organizations:ListRoots",
        "organizations:ListAccounts",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListAccountsForParent",
        "organizations:DescribeOrganization",
        "organizations:ListChildren",
        "organizations:DescribeAccount",
        "organizations:ListParents",
        "organizations:ListDelegatedAdministrators",
        "sso:*",
        "sso-directory:*",
        "identitystore:*",
        "identitystore-auth:*",
        "ds:CreateAlias",
        "access-analyzer:ValidatePolicy",
        "signin:CreateTrustedIdentityPropagationApplicationForConsole",
        "signin:ListTrustedIdentityPropagationApplicationsForConsole"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "AWSSSOManageDelegatedAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "organizations:ServicePrincipal" : "sso.amazonaws.com"
        }
      }
      },
      {
         "Sid": "AllowDeleteSyncProfile",
         "Effect": "Allow",
         "Action": [
                  "identity-sync:DeleteSyncProfile"
         ],
         "Resource": [
                  "arn:aws:identity-sync:*:*:profile/*"
         ]
    }
  ]
}

AWS politique gérée : AWSSSOMember AccountAdministrator

La AWSSSOMemberAccountAdministrator politique fournit les mesures administratives requises aux directeurs d'école. La politique est destinée aux directeurs qui jouent le rôle d'administrateur du centre d'identité IAM. Au fil du temps, la liste des actions fournies sera mise à jour pour correspondre aux fonctionnalités existantes d'IAM Identity Center et aux actions requises en tant qu'administrateur.

Vous pouvez associer la politique AWSSSOMemberAccountAdministrator à vos identités IAM. Lorsque vous associez la AWSSSOMemberAccountAdministrator politique à une identité, vous accordez AWS IAM Identity Center des autorisations administratives. Les principaux détenteurs de cette politique peuvent accéder à IAM Identity Center depuis le compte de AWS Organizations gestion et tous les comptes des membres. Ce principal peut gérer entièrement toutes les opérations de l'IAM Identity Center, y compris la possibilité de créer des utilisateurs, des ensembles d'autorisations et des attributions. Le principal peut également instancier ces attributions dans les comptes des membres de l' AWS organisation et établir des connexions entre les annuaires AWS Directory Service gérés et IAM Identity Center. À mesure que de nouvelles fonctionnalités administratives sont publiées, ces autorisations sont automatiquement accordées à l'administrateur du compte.

Pour consulter les autorisations associées à cette politique, reportez-vous AWSSSOMemberAccountAdministratorà la section AWS Managed Policy Reference.

Informations supplémentaires sur cette politique

Les administrateurs d'IAM Identity Center gèrent les utilisateurs, les groupes et les mots de passe dans leur répertoire Identity Center (répertoire SSO). Le rôle d'administrateur du compte inclut des autorisations pour les actions suivantes :

"sso:*"
"sso-directory:*"

Les administrateurs d'IAM Identity Center ont besoin d'autorisations limitées pour effectuer les AWS Directory Service actions suivantes afin d'effectuer les tâches quotidiennes.

"ds:DescribeTrusts"
"ds:UnauthorizeApplication"
"ds:DescribeDirectories"
"ds:AuthorizeApplication"
“ds:CreateAlias”

Ces autorisations permettent aux administrateurs d'IAM Identity Center d'identifier les annuaires existants et de gérer les applications afin qu'elles puissent être configurées pour être utilisées avec IAM Identity Center. Pour plus d'informations sur chacune de ces actions, consultez la section Autorisations d'AWS Directory Service API : référence des actions, des ressources et des conditions.

IAM Identity Center utilise des politiques IAM pour accorder des autorisations aux utilisateurs d'IAM Identity Center. Les administrateurs d'IAM Identity Center créent des ensembles d'autorisations et y associent des politiques. L'administrateur du centre d'identité IAM doit être autorisé à répertorier les politiques existantes afin de pouvoir choisir les politiques à utiliser avec l'ensemble d'autorisations qu'il crée ou met à jour. Pour définir des autorisations sécurisées et fonctionnelles, l'administrateur du centre d'identité IAM doit disposer des autorisations nécessaires pour exécuter la validation de la politique d'IAM Access Analyzer.

"iam:ListPolicies"
"access-analyzer:ValidatePolicy"

Les administrateurs d'IAM Identity Center ont besoin d'un accès limité aux AWS Organizations actions suivantes pour effectuer leurs tâches quotidiennes :

"organizations:EnableAWSServiceAccess"
"organizations:ListRoots"
"organizations:ListAccounts"
"organizations:ListOrganizationalUnitsForParent"
"organizations:ListAccountsForParent"
"organizations:DescribeOrganization"
"organizations:ListChildren"
"organizations:DescribeAccount"
"organizations:ListParents"
"organizations:ListDelegatedAdministrators"
"organizations:RegisterDelegatedAdministrator"
"organizations:DeregisterDelegatedAdministrator"

Ces autorisations permettent aux administrateurs d'IAM Identity Center de travailler avec les ressources de l'organisation (comptes) pour les tâches administratives de base d'IAM Identity Center, telles que les suivantes :

Identifier le compte de gestion appartenant à l'organisation
Identifier les comptes des membres appartenant à l'organisation
Permettre l'accès aux AWS services pour les comptes
Configuration et gestion d'un administrateur délégué

Pour plus d'informations sur l'utilisation d'un administrateur délégué avec IAM Identity Center, consultezAdministration déléguée. Pour plus d'informations sur la manière dont ces autorisations sont utilisées AWS Organizations, consultez la section Utilisation AWS Organizations avec d'autres AWS services.

AWS politique gérée : AWSSSODirectory Administrateur

Vous pouvez associer la politique AWSSSODirectoryAdministrator à vos identités IAM.

Cette politique accorde des autorisations administratives aux utilisateurs et aux groupes d'IAM Identity Center. Les responsables auxquels cette politique est attachée peuvent apporter des mises à jour aux utilisateurs et aux groupes IAM Identity Center.

Pour consulter les autorisations associées à cette politique, consultez la section AWSSSODirectoryAdministrateur dans AWS Managed Policy Reference.

AWS politique gérée : AWSSSORead uniquement

Vous pouvez associer la politique AWSSSOReadOnly à vos identités IAM.

Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations dans IAM Identity Center. Les principaux auxquels cette politique est attachée ne peuvent pas voir directement les utilisateurs ou les groupes de l'IAM Identity Center. Les principaux auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour dans IAM Identity Center. Par exemple, les principaux disposant de ces autorisations peuvent consulter les paramètres du centre d'identité IAM, mais ne peuvent modifier aucune des valeurs des paramètres.

Pour consulter les autorisations associées à cette politique, reportez-vous à la section AWSSSOReadUniquement dans la référence des politiques AWS gérées.

AWS politique gérée : AWSSSODirectory ReadOnly

Vous pouvez associer la politique AWSSSODirectoryReadOnly à vos identités IAM.

Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de visualiser les utilisateurs et les groupes dans IAM Identity Center. Les responsables auxquels cette politique est attachée ne peuvent pas consulter les attributions, les ensembles d'autorisations, les applications ou les paramètres d'IAM Identity Center. Les principaux auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour dans IAM Identity Center. Par exemple, les principaux disposant de ces autorisations peuvent voir les utilisateurs d'IAM Identity Center, mais ils ne peuvent pas modifier les attributs des utilisateurs ni attribuer de dispositifs MFA.

Pour consulter les autorisations associées à cette politique, reportez-vous AWSSSODirectoryReadOnlyà la section AWS Managed Policy Reference.

AWS politique gérée : AWSIdentity SyncFullAccess

Vous pouvez associer la politique AWSIdentitySyncFullAccess à vos identités IAM.

Les principaux auxquels cette politique est attachée disposent d'autorisations d'accès complètes pour créer et supprimer des profils de synchronisation, associer ou mettre à jour un profil de synchronisation à une cible de synchronisation, créer, répertorier et supprimer des filtres de synchronisation, et démarrer ou arrêter la synchronisation.

Détails de l'autorisation

Pour consulter les autorisations associées à cette politique, reportez-vous AWSIdentitySyncFullAccessà la section AWS Managed Policy Reference.

AWS politique gérée : AWSIdentity SyncReadOnlyAccess

Vous pouvez associer la politique AWSIdentitySyncReadOnlyAccess à vos identités IAM.

Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations relatives au profil de synchronisation des identités, aux filtres et aux paramètres cibles. Les principaux auxquels cette politique est attachée ne peuvent pas mettre à jour les paramètres de synchronisation. Par exemple, les principaux disposant de ces autorisations peuvent consulter les paramètres de synchronisation des identités, mais ne peuvent modifier aucune des valeurs de profil ou de filtre.

Pour consulter les autorisations associées à cette politique, reportez-vous AWSIdentitySyncReadOnlyAccessà la section AWS Managed Policy Reference.

AWS politique gérée : AWSSSOService RolePolicy

Vous ne pouvez pas associer la AWSSSOServiceRolePolicy politique à vos identités IAM.

Cette politique est associée à un rôle lié à un service qui permet à IAM Identity Center de déléguer et d'appliquer les utilisateurs disposant d'un accès par authentification unique à un domaine spécifique. Comptes AWS AWS Organizations Lorsque vous activez IAM, un rôle lié à un service est créé Comptes AWS dans l'ensemble de votre organisation. IAM Identity Center crée également le même rôle lié au service dans chaque compte ajouté ultérieurement à votre organisation. Ce rôle permet à IAM Identity Center d'accéder aux ressources de chaque compte en votre nom. Les rôles liés à un service créés dans chacun d'eux Compte AWS sont nommés. AWSServiceRoleForSSO Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour IAM Identity Center.

AWS politique gérée : AWSIAMIdentity CenterAllowListForIdentityContext

Lorsque vous assumez un rôle dans le contexte d'identité de l'IAM Identity Center, AWS Security Token Service (AWS STS) attache automatiquement la AWSIAMIdentityCenterAllowListForIdentityContext politique au rôle.

Cette politique fournit la liste des actions autorisées lorsque vous utilisez la propagation d'identité sécurisée avec des rôles assumés dans le contexte d'identité IAM Identity Center. Toutes les autres actions appelées dans ce contexte sont bloquées. Le contexte d'identité est transmis en tant queProvidedContext.

Pour consulter les autorisations associées à cette politique, reportez-vous AWSIAMIdentityCenterAllowListForIdentityContextà la section AWS Managed Policy Reference.

Mises à jour des politiques AWS gérées par IAM Identity Center

Le tableau suivant décrit les mises à jour apportées aux politiques AWS gérées pour IAM Identity Center depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique des documents d'IAM Identity Center.

Modification	Description	Date
AWSIAMIdentityCenterAllowListForIdentityContext	Cette politique inclut désormais les `qapps:ExportQAppSessionData` actions `qapps:ListQAppSessionData` et destinées à prendre en charge les sessions de console sensibles à l'identité pour les applications AWS gérées qui prennent en charge ces sessions.	2 octobre 2024
AWSSSOMasterAccountAdministrator	IAM Identity Center a ajouté une nouvelle action pour accorder DeleteSyncProfile des autorisations afin de vous permettre d'utiliser cette politique pour supprimer des profils de synchronisation. Cette action est associée à DeleteInstance l'API.	26 septembre 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Cette politique inclut désormais l'`s3:ListCallerAccessGrants`action visant à prendre en charge les sessions de console sensibles à l'identité pour les applications AWS gérées qui prennent en charge ces sessions.	4 septembre 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Cette politique inclut désormais les`aoss:APIAccessAll`,,, `es:ESHttpHead` `es:ESHttpPost` `es:ESHttpGet` `es:ESHttpPatches:ESHttpDelete`, et les `es:ESHttpPut` actions visant à prendre en charge les sessions de console sensibles à l'identité pour les applications AWS gérées qui prennent en charge ces sessions.	12 juillet 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Cette politique inclut désormais les`qapps:PredictQApp`,,,,`qapps:ImportDocument`,`qapps:AssociateLibraryItemReview`, `qapps:DisassociateLibraryItemReview` `qapps:GetQAppSession` `qapps:UpdateQAppSession` `qapps:GetQAppSessionMetadataqapps:UpdateQAppSessionMetadata`, et les `qapps:TagResource` actions visant à prendre en charge les sessions de console sensibles à l'identité pour les applications AWS gérées qui prennent en charge ces sessions.	27 juin 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Cette politique inclut désormais les`elasticmapreduce:AddJobFlowSteps`,, `elasticmapreduce:DescribeCluster` `elasticmapreduce:CancelStepselasticmapreduce:DescribeStep`, et les `elasticmapreduce:ListSteps` actions visant à soutenir la propagation d'identités fiables dans Amazon EMR.	17 mai 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Cette politique inclut désormais les`qapps:CreateQApp`,,,`qapps:PredictProblemStatementFromConversation`,,`qapps:PredictQAppFromProblemStatement`,`qapps:CopyQApp`,`qapps:GetQApp`,,`qapps:ListQApps`,`qapps:UpdateQApp`,`qapps:DeleteQApp`,,`qapps:AssociateQAppWithUser`,`qapps:DisassociateQAppFromUser`,,`qapps:ImportDocumentToQApp`,`qapps:ImportDocumentToQAppSession`,`qapps:CreateLibraryItem`,, `qapps:GetLibraryItem` `qapps:UpdateLibraryItem` `qapps:CreateLibraryItemReview` `qapps:ListLibraryItems` `qapps:CreateSubscriptionTokenqapps:StartQAppSession`, et les `qapps:StopQAppSession` actions visant à prendre en charge les sessions de console basées sur l'identité pour les applications AWS gérées qui prennent en charge ces sessions.	30 avril 2024
AWSSSOMasterAccountAdministrator	Cette politique inclut désormais les `signin:ListTrustedIdentityPropagationApplicationsForConsole` actions `signin:CreateTrustedIdentityPropagationApplicationForConsole` et destinées à prendre en charge les sessions de console sensibles à l'identité pour les applications AWS gérées qui prennent en charge ces sessions.	26 avril 2024
AWSSSOMemberAccountAdministrator	Cette politique inclut désormais les `signin:ListTrustedIdentityPropagationApplicationsForConsole` actions `signin:CreateTrustedIdentityPropagationApplicationForConsole` et destinées à prendre en charge les sessions de console sensibles à l'identité pour les applications AWS gérées qui prennent en charge ces sessions.	26 avril 2024
AWSSSOReadUniquement	Cette politique inclut désormais l'`signin:ListTrustedIdentityPropagationApplicationsForConsole`action visant à prendre en charge les sessions de console sensibles à l'identité pour les applications AWS gérées qui prennent en charge ces sessions.	26 avril 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Cette politique inclut désormais l'`qbusiness:PutFeedback`action visant à prendre en charge les sessions de console sensibles à l'identité pour les applications AWS gérées qui prennent en charge ces sessions.	26 avril 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Cette politique inclut désormais les`q:StartConversation`,,,,`q:SendMessage`, `q:ListConversations` `q:GetConversation` `q:StartTroubleshootingAnalysis` `q:GetTroubleshootingResultsq:StartTroubleshootingResolutionExplanation`, et les `q:UpdateTroubleshootingCommandResult` actions visant à prendre en charge les sessions de console sensibles à l'identité pour les applications AWS gérées qui prennent en charge ces sessions.	24 avril 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Cette politique inclut désormais l'`sts:SetContext`action visant à prendre en charge les sessions de console sensibles à l'identité pour les applications AWS gérées qui prennent en charge ces sessions.	19 avril 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Cette politique inclut désormais les`qbusiness:Chat`,, `qbusiness:ChatSync` `qbusiness:ListConversationsqbusiness:ListMessages`, et les `qbusiness:DeleteConversation` actions visant à prendre en charge les sessions de console sensibles à l'identité pour les applications AWS gérées qui prennent en charge ces sessions.	11 avril 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Cette politique inclut désormais les `s3:GetDataAccess` actions `s3:GetAccessGrantsInstanceForPrefix` et.	26 novembre 2023
AWSIAMIdentityCenterAllowListForIdentityContext	Cette politique fournit la liste des actions autorisées lorsque vous utilisez la propagation d'identité sécurisée avec des rôles assumés dans le contexte d'identité IAM Identity Center.	15 novembre 2023
AWSSSODirectoryReadOnly	Cette politique inclut désormais le nouvel espace de noms `identitystore-auth` avec de nouvelles autorisations permettant aux utilisateurs de répertorier et d'obtenir des sessions.	21 février 2023
AWSSSOServiceRolePolicy	Cette politique permet désormais de `UpdateSAMLProvider` prendre des mesures sur le compte de gestion.	20 octobre 2022
AWSSSOMasterAccountAdministrator	Cette politique inclut désormais le nouvel espace de noms `identitystore-auth` avec de nouvelles autorisations permettant à l'administrateur de répertorier et de supprimer les sessions d'un utilisateur.	20 octobre 2022
AWSSSOMemberAccountAdministrator	Cette politique inclut désormais le nouvel espace de noms `identitystore-auth` avec de nouvelles autorisations permettant à l'administrateur de répertorier et de supprimer les sessions d'un utilisateur.	20 octobre 2022
AWSSSODirectoryAdministrateur	Cette politique inclut désormais le nouvel espace de noms `identitystore-auth` avec de nouvelles autorisations permettant à l'administrateur de répertorier et de supprimer les sessions d'un utilisateur.	20 octobre 2022
AWSSSOMasterAccountAdministrator	Cette politique inclut désormais de nouvelles autorisations `ListDelegatedAdministrators` d'appel AWS Organizations. Cette politique inclut également désormais un sous-ensemble d'autorisations `AWSSSOManageDelegatedAdministrator` qui inclut les autorisations d'appeler `RegisterDelegatedAdministrator` et`DeregisterDelegatedAdministrator`.	16 août 2022
AWSSSOMemberAccountAdministrator	Cette politique inclut désormais de nouvelles autorisations `ListDelegatedAdministrators` d'appel AWS Organizations. Cette politique inclut également désormais un sous-ensemble d'autorisations `AWSSSOManageDelegatedAdministrator` qui inclut les autorisations d'appeler `RegisterDelegatedAdministrator` et`DeregisterDelegatedAdministrator`.	16 août 2022
AWSSSOReadUniquement	Cette politique inclut désormais de nouvelles autorisations `ListDelegatedAdministrators` d'appel AWS Organizations.	11 août 2022
AWSSSOServiceRolePolicy	Cette politique inclut désormais de nouvelles autorisations pour appeler `DeleteRolePermissionsBoundary` et`PutRolePermisionsBoundary`.	14 juillet 2022
AWSSSOServiceRolePolicy	Cette politique inclut désormais de nouvelles autorisations qui autorisent les appels `ListAWSServiceAccessForOrganization and ListDelegatedAdministrators` entrants AWS Organizations.	11 mai 2022
AWSSSOMasterAccountAdministrator AWSSSOMemberAccountAdministrator AWSSSOReadUniquement	Ajoutez des autorisations IAM Access Analyzer qui permettent au principal d'utiliser les contrôles de politique à des fins de validation.	28 avril 2022
AWSSSOMasterAccountAdministrator	Cette politique autorise désormais toutes les actions du service IAM Identity Center Identity Store. Pour plus d'informations sur les actions disponibles dans le service IAM Identity Center Identity Store, consultez le document de référence de l'API IAM Identity Center Identity Store.	29 mars 2022
AWSSSOMemberAccountAdministrator	Cette politique autorise désormais toutes les actions du service IAM Identity Center Identity Store.	29 mars 2022
AWSSSODirectoryAdministrateur	Cette politique autorise désormais toutes les actions du service IAM Identity Center Identity Store.	29 mars 2022
AWSSSODirectoryReadOnly	Cette politique donne désormais accès aux actions de lecture du service IAM Identity Center Identity Store. Cet accès est nécessaire pour récupérer les informations relatives aux utilisateurs et aux groupes à partir du service IAM Identity Center Identity Store.	29 mars 2022
AWSIdentitySyncFullAccess	Cette politique permet un accès complet aux autorisations de synchronisation des identités.	3 mars 2022
AWSIdentitySyncReadOnlyAccess	Cette politique accorde des autorisations en lecture seule qui permettent au principal de consulter les paramètres de synchronisation des identités.	3 mars 2022
AWSSSOReadUniquement	Cette politique accorde des autorisations en lecture seule qui permettent au principal de consulter les paramètres de configuration d'IAM Identity Center.	4 août 2021
IAM Identity Center a commencé à suivre les modifications	IAM Identity Center a commencé à suivre les modifications apportées aux politiques AWS gérées.	4 août 2021

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politiques basées sur une identité (politiques IAM)

Utilisation des rôles liés à un service