AWSSSOMasterAccountAdministrator AWSSSOMemberAccountAdministrator AWSSSODirectoryAdministrator AWSSSOReadHanya AWSSSODirectoryReadOnly AWSIdentitySyncFullAccess AWSIdentitySyncReadOnlyAccess AWSSSOServiceRolePolicy AWSIAMIdentityCenterAllowListForIdentityContext Pusat Identitas IAM memperbarui kebijakan AWS terkelola

AWS kebijakan terkelola untuk Pusat Identitas IAM

Untuk membuat kebijakan terkelola pelanggan IAM yang memberi tim Anda hanya izin yang mereka butuhkan membutuhkan waktu dan keahlian. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi lebih lanjut tentang kebijakan yang dikelola AWS , lihat kebijakan yang dikelola AWS di Panduan Pengguna IAM.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

Tindakan baru yang memungkinkan Anda membuat daftar dan menghapus sesi pengguna tersedia di bawah namespace identitystore-auth baru. Setiap izin tambahan untuk tindakan di namespace ini akan diperbarui di halaman ini. Saat membuat kebijakan IAM kustom Anda, hindari penggunaan * after identitystore-auth karena ini berlaku untuk semua tindakan yang ada di namespace hari ini atau di masa mendatang.

AWS kebijakan terkelola: AWSSSOMaster AccountAdministrator

AWSSSOMasterAccountAdministratorKebijakan tersebut memberikan tindakan administratif yang diperlukan kepada kepala sekolah. Kebijakan ini ditujukan untuk kepala sekolah yang melakukan peran pekerjaan sebagai administrator. AWS IAM Identity Center Seiring waktu, daftar tindakan yang diberikan akan diperbarui agar sesuai dengan fungsionalitas IAM Identity Center yang ada dan tindakan yang diperlukan sebagai administrator.

Anda dapat melampirkan kebijakan AWSSSOMasterAccountAdministrator ke identitas IAM Anda. Saat Anda melampirkan AWSSSOMasterAccountAdministrator kebijakan ke identitas, Anda memberikan AWS IAM Identity Center izin administratif. Prinsipal dengan kebijakan ini dapat mengakses Pusat Identitas IAM dalam akun AWS Organizations manajemen dan semua akun anggota. Prinsipal ini dapat sepenuhnya mengelola semua operasi Pusat Identitas IAM, termasuk kemampuan untuk membuat instans Pusat Identitas IAM, pengguna, set izin, dan tugas. Kepala sekolah juga dapat membuat instance penugasan tersebut di seluruh akun anggota AWS organisasi dan membangun koneksi antara direktori AWS Directory Service terkelola dan Pusat Identitas IAM. Saat fitur administratif baru dirilis, administrator akun akan diberikan izin ini secara otomatis.

Pengelompokan izin

Kebijakan ini dikelompokkan ke dalam pernyataan berdasarkan kumpulan izin yang diberikan.

AWSSSOMasterAccountAdministrator— Memungkinkan IAM Identity Center untuk meneruskan peran layanan bernama AWSServiceRoleforSSO IAM Identity Center sehingga nantinya dapat mengambil peran dan melakukan tindakan atas nama mereka. Hal ini diperlukan ketika orang atau aplikasi mencoba untuk mengaktifkan IAM Identity Center. Untuk informasi selengkapnya, lihat Akun AWS akses.
AWSSSOMemberAccountAdministrator— Memungkinkan IAM Identity Center untuk melakukan tindakan administrator akun di lingkungan multi-akun AWS . Untuk informasi selengkapnya, lihat AWS kebijakan terkelola: AWSSSOMember AccountAdministrator.
AWSSSOManageDelegatedAdministrator— Memungkinkan IAM Identity Center untuk mendaftar dan membatalkan pendaftaran administrator yang didelegasikan untuk organisasi Anda.

Untuk melihat izin kebijakan ini, lihat AWSSSOMasterAccountAdministratordi Referensi Kebijakan AWS Terkelola.

Informasi tambahan tentang kebijakan ini

Ketika Pusat Identitas IAM diaktifkan untuk pertama kalinya, layanan Pusat Identitas IAM membuat peran layanan yang ditautkan di akun AWS Organizations manajemen (sebelumnya akun master) sehingga Pusat Identitas IAM dapat mengelola sumber daya di akun Anda. Tindakan yang diperlukan adalah iam:CreateServiceLinkedRole daniam:PassRole, yang ditampilkan dalam cuplikan berikut.


{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "AWSSSOCreateSLR",
      "Effect" : "Allow",
      "Action" : "iam:CreateServiceLinkedRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:AWSServiceName" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMasterAccountAdministrator",
      "Effect" : "Allow",
      "Action" : "iam:PassRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:PassedToService" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMemberAccountAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "ds:DescribeTrusts",
        "ds:UnauthorizeApplication",
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "iam:ListPolicies",
        "organizations:EnableAWSServiceAccess",
        "organizations:ListRoots",
        "organizations:ListAccounts",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListAccountsForParent",
        "organizations:DescribeOrganization",
        "organizations:ListChildren",
        "organizations:DescribeAccount",
        "organizations:ListParents",
        "organizations:ListDelegatedAdministrators",
        "sso:*",
        "sso-directory:*",
        "identitystore:*",
        "identitystore-auth:*",
        "ds:CreateAlias",
        "access-analyzer:ValidatePolicy",
        "signin:CreateTrustedIdentityPropagationApplicationForConsole",
        "signin:ListTrustedIdentityPropagationApplicationsForConsole"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "AWSSSOManageDelegatedAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "organizations:ServicePrincipal" : "sso.amazonaws.com"
        }
      }
      },
      {
         "Sid": "AllowDeleteSyncProfile",
         "Effect": "Allow",
         "Action": [
                  "identity-sync:DeleteSyncProfile"
         ],
         "Resource": [
                  "arn:aws:identity-sync:*:*:profile/*"
         ]
    }
  ]
}

AWS kebijakan terkelola: AWSSSOMember AccountAdministrator

AWSSSOMemberAccountAdministratorKebijakan tersebut memberikan tindakan administratif yang diperlukan kepada kepala sekolah. Kebijakan ini ditujukan untuk kepala sekolah yang melakukan peran pekerjaan sebagai administrator Pusat Identitas IAM. Seiring waktu, daftar tindakan yang diberikan akan diperbarui agar sesuai dengan fungsionalitas IAM Identity Center yang ada dan tindakan yang diperlukan sebagai administrator.

Anda dapat melampirkan kebijakan AWSSSOMemberAccountAdministrator ke identitas IAM Anda. Saat Anda melampirkan AWSSSOMemberAccountAdministrator kebijakan ke identitas, Anda memberikan AWS IAM Identity Center izin administratif. Prinsipal dengan kebijakan ini dapat mengakses Pusat Identitas IAM dalam akun AWS Organizations manajemen dan semua akun anggota. Prinsipal ini dapat sepenuhnya mengelola semua operasi Pusat Identitas IAM, termasuk kemampuan untuk membuat pengguna, set izin, dan tugas. Kepala sekolah juga dapat membuat instance penugasan tersebut di seluruh akun anggota AWS organisasi dan membangun koneksi antara direktori AWS Directory Service terkelola dan Pusat Identitas IAM. Saat fitur administratif baru dirilis, administrator akun diberikan izin ini secara otomatis.

Untuk melihat izin kebijakan ini, lihat AWSSSOMemberAccountAdministratordi Referensi Kebijakan AWS Terkelola.

Informasi tambahan tentang kebijakan ini

Administrator IAM Identity Center mengelola pengguna, grup, dan kata sandi di toko direktori Pusat Identitas mereka (sso-direktori). Peran admin akun mencakup izin untuk tindakan berikut:

"sso:*"
"sso-directory:*"

Administrator Pusat Identitas IAM memerlukan izin terbatas untuk AWS Directory Service tindakan berikut untuk melakukan tugas sehari-hari.

"ds:DescribeTrusts"
"ds:UnauthorizeApplication"
"ds:DescribeDirectories"
"ds:AuthorizeApplication"
“ds:CreateAlias”

Izin ini memungkinkan administrator IAM Identity Center untuk mengidentifikasi direktori yang ada dan mengelola aplikasi sehingga mereka dapat dikonfigurasi untuk digunakan dengan IAM Identity Center. Untuk informasi selengkapnya tentang setiap tindakan ini, lihat Izin AWS Directory Service API: Referensi tindakan, sumber daya, dan kondisi.

IAM Identity Center menggunakan kebijakan IAM untuk memberikan izin kepada pengguna IAM Identity Center. Administrator IAM Identity Center membuat set izin dan melampirkan kebijakan padanya. Administrator Pusat Identitas IAM harus memiliki izin untuk membuat daftar kebijakan yang ada sehingga mereka dapat memilih kebijakan mana yang akan digunakan dengan set izin yang mereka buat atau perbarui. Untuk menetapkan izin aman dan fungsional, administrator Pusat Identitas IAM harus memiliki izin untuk menjalankan validasi kebijakan IAM Access Analyzer.

"iam:ListPolicies"
"access-analyzer:ValidatePolicy"

Administrator IAM Identity Center memerlukan akses terbatas ke AWS Organizations tindakan berikut untuk melakukan tugas sehari-hari:

"organizations:EnableAWSServiceAccess"
"organizations:ListRoots"
"organizations:ListAccounts"
"organizations:ListOrganizationalUnitsForParent"
"organizations:ListAccountsForParent"
"organizations:DescribeOrganization"
"organizations:ListChildren"
"organizations:DescribeAccount"
"organizations:ListParents"
"organizations:ListDelegatedAdministrators"
"organizations:RegisterDelegatedAdministrator"
"organizations:DeregisterDelegatedAdministrator"

Izin ini memungkinkan administrator IAM Identity Center kemampuan untuk bekerja dengan sumber daya organisasi (akun) untuk tugas administratif Pusat Identitas IAM dasar seperti berikut:

Mengidentifikasi akun manajemen milik organisasi
Mengidentifikasi akun anggota yang menjadi milik organisasi
Mengaktifkan akses AWS layanan untuk akun
Menyiapkan dan mengelola administrator yang didelegasikan

Untuk informasi selengkapnya tentang menggunakan administrator yang didelegasikan dengan IAM Identity Center, lihat. Administrator yang didelegasikan Untuk informasi selengkapnya tentang cara izin ini digunakan AWS Organizations, lihat Menggunakan AWS Organizations dengan AWS layanan lain.

AWS kebijakan terkelola: AWSSSODirectory Administrator

Anda dapat melampirkan kebijakan AWSSSODirectoryAdministrator ke identitas IAM Anda.

Kebijakan ini memberikan izin administratif atas pengguna dan grup Pusat Identitas IAM. Prinsipal dengan kebijakan ini terlampir dapat melakukan pembaruan apa pun kepada pengguna dan grup IAM Identity Center.

Untuk melihat izin kebijakan ini, lihat AWSSSODirectoryAdministrator di Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSSSORead Hanya

Anda dapat melampirkan kebijakan AWSSSOReadOnly ke identitas IAM Anda.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat informasi di Pusat Identitas IAM. Prinsipal dengan kebijakan ini terlampir tidak dapat melihat pengguna atau grup Pusat Identitas IAM secara langsung. Prinsipal dengan kebijakan ini terlampir tidak dapat melakukan pembaruan apa pun di Pusat Identitas IAM. Misalnya, prinsipal dengan izin ini dapat melihat pengaturan Pusat Identitas IAM, tetapi tidak dapat mengubah nilai pengaturan apa pun.

Untuk melihat izin kebijakan ini, lihat AWSSSOReadHanya di Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSSSODirectory ReadOnly

Anda dapat melampirkan kebijakan AWSSSODirectoryReadOnly ke identitas IAM Anda.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat pengguna dan grup di Pusat Identitas IAM. Prinsipal dengan kebijakan ini terlampir tidak dapat melihat penetapan Pusat Identitas IAM, set izin, aplikasi, atau setelan. Prinsipal dengan kebijakan ini terlampir tidak dapat melakukan pembaruan apa pun di Pusat Identitas IAM. Misalnya, prinsipal dengan izin ini dapat melihat pengguna Pusat Identitas IAM, tetapi mereka tidak dapat mengubah atribut pengguna apa pun atau menetapkan perangkat MFA.

Untuk melihat izin kebijakan ini, lihat AWSSSODirectoryReadOnlydi Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSIdentity SyncFullAccess

Anda dapat melampirkan kebijakan AWSIdentitySyncFullAccess ke identitas IAM Anda.

Prinsipal dengan kebijakan ini terlampir memiliki izin akses penuh untuk membuat dan menghapus profil sinkronisasi, mengaitkan atau memperbarui profil sinkronisasi dengan target sinkronisasi, membuat, mencantumkan, dan menghapus filter sinkronisasi, serta memulai atau menghentikan sinkronisasi.

Detail izin

Untuk melihat izin kebijakan ini, lihat AWSIdentitySyncFullAccessdi Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSIdentity SyncReadOnlyAccess

Anda dapat melampirkan kebijakan AWSIdentitySyncReadOnlyAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat informasi tentang profil sinkronisasi identitas, filter, dan setelan target. Prinsipal dengan kebijakan ini terlampir tidak dapat melakukan pembaruan apa pun pada setelan sinkronisasi. Misalnya, prinsipal dengan izin ini dapat melihat pengaturan sinkronisasi identitas, tetapi tidak dapat mengubah profil atau nilai filter apa pun.

Untuk melihat izin kebijakan ini, lihat AWSIdentitySyncReadOnlyAccessdi Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSSSOService RolePolicy

Anda tidak dapat melampirkan AWSSSOServiceRolePolicy kebijakan ke identitas IAM Anda.

Kebijakan ini dilampirkan ke peran terkait layanan yang memungkinkan Pusat Identitas IAM untuk mendelegasikan dan menegakkan pengguna mana yang memiliki akses masuk tunggal ke pengguna tertentu. Akun AWS AWS Organizations Saat Anda mengaktifkan IAM, peran terkait layanan dibuat di semua bagian dalam organisasi Anda. Akun AWS IAM Identity Center juga menciptakan peran terkait layanan yang sama di setiap akun yang kemudian ditambahkan ke organisasi Anda. Peran ini memungkinkan Pusat Identitas IAM untuk mengakses sumber daya setiap akun atas nama Anda. Peran terkait layanan yang dibuat di masing-masing Akun AWS diberi nama. AWSServiceRoleForSSO Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk IAM Identity Center.

AWS kebijakan terkelola: AWSIAMIdentity CenterAllowListForIdentityContext

Saat mengambil peran dengan konteks identitas Pusat Identitas IAM, AWS Security Token Service (AWS STS) secara otomatis melampirkan AWSIAMIdentityCenterAllowListForIdentityContext kebijakan ke peran tersebut.

Kebijakan ini menyediakan daftar tindakan yang diizinkan saat Anda menggunakan propagasi identitas tepercaya dengan peran yang diasumsikan dengan konteks identitas Pusat Identitas IAM. Semua tindakan lain yang dipanggil dengan konteks ini diblokir. Konteks identitas diteruskan sebagaiProvidedContext.

Untuk melihat izin kebijakan ini, lihat AWSIAMIdentityCenterAllowListForIdentityContextdi Referensi Kebijakan AWS Terkelola.

Pusat Identitas IAM memperbarui kebijakan AWS terkelola

Tabel berikut menjelaskan pembaruan kebijakan AWS terkelola untuk Pusat Identitas IAM sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen Pusat Identitas IAM.

Perubahan	Deskripsi	Tanggal
AWSIAMIdentityCenterAllowListForIdentityContext	Kebijakan ini sekarang mencakup `qapps:ListQAppSessionData` dan `qapps:ExportQAppSessionData` tindakan untuk mendukung sesi konsol sadar identitas untuk aplikasi AWS terkelola yang mendukung sesi ini.	Oktober 2, 2024
AWSSSOMasterAccountAdministrator	Pusat Identitas IAM menambahkan tindakan baru untuk memberikan DeleteSyncProfile izin agar Anda dapat menggunakan kebijakan ini untuk menghapus profil sinkronisasi. Ini adalah tindakan yang terkait dengan DeleteInstance API.	September 26, 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Kebijakan ini sekarang menyertakan `s3:ListCallerAccessGrants` tindakan untuk mendukung sesi konsol sadar identitas untuk aplikasi AWS terkelola yang mendukung sesi ini.	September 4, 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Kebijakan ini sekarang mencakup`aoss:APIAccessAll`,,,`es:ESHttpHead`,`es:ESHttpPost`, `es:ESHttpGet` `es:ESHttpPatches:ESHttpDelete`, dan `es:ESHttpPut` tindakan untuk mendukung sesi konsol sadar identitas untuk aplikasi AWS terkelola yang mendukung sesi ini.	Juli 12, 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Kebijakan ini sekarang mencakup`qapps:PredictQApp`,,`qapps:ImportDocument`,,`qapps:AssociateLibraryItemReview`,`qapps:DisassociateLibraryItemReview`,`qapps:GetQAppSession`, `qapps:UpdateQAppSession` `qapps:GetQAppSessionMetadataqapps:UpdateQAppSessionMetadata`, dan `qapps:TagResource` tindakan untuk mendukung sesi konsol sadar identitas untuk aplikasi AWS terkelola yang mendukung sesi ini.	27 Juni 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Kebijakan ini sekarang mencakup`elasticmapreduce:AddJobFlowSteps`,,, `elasticmapreduce:DescribeCluster` `elasticmapreduce:CancelStepselasticmapreduce:DescribeStep`, dan `elasticmapreduce:ListSteps` tindakan untuk mendukung propagasi identitas tepercaya di Amazon EMR.	17 Mei 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Kebijakan ini sekarang mencakup`qapps:CreateQApp`,,,`qapps:PredictProblemStatementFromConversation`,`qapps:PredictQAppFromProblemStatement`,`qapps:CopyQApp`,`qapps:GetQApp`,`qapps:ListQApps`,`qapps:UpdateQApp`,`qapps:DeleteQApp`,`qapps:AssociateQAppWithUser`,`qapps:DisassociateQAppFromUser`,,`qapps:ImportDocumentToQApp`,`qapps:ImportDocumentToQAppSession`,`qapps:CreateLibraryItem`,`qapps:GetLibraryItem`,`qapps:UpdateLibraryItem`,`qapps:CreateLibraryItemReview`,`qapps:ListLibraryItems`, `qapps:CreateSubscriptionTokenqapps:StartQAppSession`, dan `qapps:StopQAppSession` tindakan untuk mendukung sesi konsol sadar identitas untuk aplikasi AWS terkelola yang mendukung sesi ini.	April 30, 2024
AWSSSOMasterAccountAdministrator	Kebijakan ini sekarang mencakup `signin:CreateTrustedIdentityPropagationApplicationForConsole` dan `signin:ListTrustedIdentityPropagationApplicationsForConsole` tindakan untuk mendukung sesi konsol sadar identitas untuk aplikasi AWS terkelola yang mendukung sesi ini.	April 26, 2024
AWSSSOMemberAccountAdministrator	Kebijakan ini sekarang mencakup `signin:CreateTrustedIdentityPropagationApplicationForConsole` dan `signin:ListTrustedIdentityPropagationApplicationsForConsole` tindakan untuk mendukung sesi konsol sadar identitas untuk aplikasi AWS terkelola yang mendukung sesi ini.	April 26, 2024
AWSSSOReadHanya	Kebijakan ini sekarang menyertakan `signin:ListTrustedIdentityPropagationApplicationsForConsole` tindakan untuk mendukung sesi konsol sadar identitas untuk aplikasi AWS terkelola yang mendukung sesi ini.	April 26, 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Kebijakan ini sekarang menyertakan `qbusiness:PutFeedback` tindakan untuk mendukung sesi konsol sadar identitas untuk aplikasi AWS terkelola yang mendukung sesi ini.	April 26, 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Kebijakan ini sekarang mencakup`q:StartConversation`,,`q:SendMessage`,,`q:ListConversations`,`q:GetConversation`, `q:StartTroubleshootingAnalysis` `q:GetTroubleshootingResultsq:StartTroubleshootingResolutionExplanation`, dan `q:UpdateTroubleshootingCommandResult` tindakan untuk mendukung sesi konsol sadar identitas untuk aplikasi AWS terkelola yang mendukung sesi ini.	April 24, 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Kebijakan ini sekarang menyertakan `sts:SetContext` tindakan untuk mendukung sesi konsol sadar identitas untuk aplikasi AWS terkelola yang mendukung sesi ini.	April 19, 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Kebijakan ini sekarang mencakup`qbusiness:Chat`,,, `qbusiness:ChatSync` `qbusiness:ListConversationsqbusiness:ListMessages`, dan `qbusiness:DeleteConversation` tindakan untuk mendukung sesi konsol sadar identitas untuk aplikasi AWS terkelola yang mendukung sesi ini.	April 11, 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Kebijakan ini sekarang mencakup `s3:GetAccessGrantsInstanceForPrefix` dan `s3:GetDataAccess` tindakan.	26 November 2023
AWSIAMIdentityCenterAllowListForIdentityContext	Kebijakan ini menyediakan daftar tindakan yang diizinkan saat Anda menggunakan propagasi identitas tepercaya dengan peran yang diasumsikan dengan konteks identitas Pusat Identitas IAM.	15 November 2023
AWSSSODirectoryReadOnly	Kebijakan ini sekarang menyertakan namespace baru `identitystore-auth` dengan izin baru untuk memungkinkan pengguna membuat daftar dan mendapatkan sesi.	21 Februari 2023
AWSSSOServiceRolePolicy	Kebijakan ini sekarang memungkinkan `UpdateSAMLProvider` tindakan diambil pada akun manajemen.	20 Oktober 2022
AWSSSOMasterAccountAdministrator	Kebijakan ini sekarang menyertakan namespace baru `identitystore-auth` dengan izin baru untuk memungkinkan admin membuat daftar dan menghapus sesi untuk pengguna.	20 Oktober 2022
AWSSSOMemberAccountAdministrator	Kebijakan ini sekarang menyertakan namespace baru `identitystore-auth` dengan izin baru untuk memungkinkan admin membuat daftar dan menghapus sesi untuk pengguna.	20 Oktober 2022
AWSSSODirectoryAdministrator	Kebijakan ini sekarang menyertakan namespace baru `identitystore-auth` dengan izin baru untuk memungkinkan admin membuat daftar dan menghapus sesi untuk pengguna.	20 Oktober 2022
AWSSSOMasterAccountAdministrator	Kebijakan ini sekarang menyertakan izin baru untuk menelepon`ListDelegatedAdministrators`. AWS Organizations Kebijakan ini juga sekarang menyertakan subset izin `AWSSSOManageDelegatedAdministrator` yang mencakup izin untuk menelepon dan. `RegisterDelegatedAdministrator` `DeregisterDelegatedAdministrator`	Agustus 16, 2022
AWSSSOMemberAccountAdministrator	Kebijakan ini sekarang menyertakan izin baru untuk menelepon`ListDelegatedAdministrators`. AWS Organizations Kebijakan ini juga sekarang menyertakan subset izin `AWSSSOManageDelegatedAdministrator` yang mencakup izin untuk menelepon dan. `RegisterDelegatedAdministrator` `DeregisterDelegatedAdministrator`	Agustus 16, 2022
AWSSSOReadHanya	Kebijakan ini sekarang menyertakan izin baru untuk menelepon`ListDelegatedAdministrators`. AWS Organizations	Agustus 11, 2022
AWSSSOServiceRolePolicy	Kebijakan ini sekarang menyertakan izin baru untuk menelepon `DeleteRolePermissionsBoundary` dan`PutRolePermisionsBoundary`.	14 Juli 2022
AWSSSOServiceRolePolicy	Kebijakan ini sekarang menyertakan izin baru yang memungkinkan panggilan `ListAWSServiceAccessForOrganization and ListDelegatedAdministrators` masuk AWS Organizations.	Mei 11, 2022
AWSSSOMasterAccountAdministrator AWSSSOMemberAccountAdministrator AWSSSOReadHanya	Tambahkan izin IAM Access Analyzer yang memungkinkan prinsipal menggunakan pemeriksaan kebijakan untuk validasi.	28 April 2022
AWSSSOMasterAccountAdministrator	Kebijakan ini sekarang memungkinkan semua tindakan layanan IAM Identity Center Identity Store. Untuk informasi tentang tindakan yang tersedia di layanan IAM Identity Center Identity Store, lihat Referensi API IAM Identity Center Identity Store.	29 Maret 2022
AWSSSOMemberAccountAdministrator	Kebijakan ini sekarang memungkinkan semua tindakan layanan IAM Identity Center Identity Store.	29 Maret 2022
AWSSSODirectoryAdministrator	Kebijakan ini sekarang memungkinkan semua tindakan layanan IAM Identity Center Identity Store.	29 Maret 2022
AWSSSODirectoryReadOnly	Kebijakan ini sekarang memberikan akses ke tindakan baca layanan IAM Identity Center Identity Store. Akses ini diperlukan untuk mengambil informasi pengguna dan grup dari layanan IAM Identity Center Identity Store.	29 Maret 2022
AWSIdentitySyncFullAccess	Kebijakan ini memungkinkan akses penuh ke izin sinkronisasi identitas.	3 Maret 2022
AWSIdentitySyncReadOnlyAccess	Kebijakan ini memberikan izin hanya-baca yang memungkinkan prinsipal untuk melihat setelan sinkronisasi identitas.	3 Maret 2022
AWSSSOReadHanya	Kebijakan ini memberikan izin hanya-baca yang memungkinkan prinsipal untuk melihat setelan konfigurasi Pusat Identitas IAM.	4 Agustus 2021
Pusat Identitas IAM mulai melacak perubahan	Pusat Identitas IAM mulai melacak perubahan untuk kebijakan AWS terkelola.	4 Agustus 2021

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kebijakan berbasis identitas (kebijakan IAM)

Menggunakan peran terkait layanan