Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan peran terkait layanan untuk IAM Identity Center
AWS IAM Identity Center menggunakan AWS Identity and Access Management peran terkait layanan (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Pusat Identitas IAM. Ini telah ditentukan oleh IAM Identity Center dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. Untuk informasi selengkapnya, lihat Memahami peran terkait layanan di Pusat Identitas IAM.
Peran terkait layanan membuat pengaturan IAM Identity Center lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Pusat Identitas IAM mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya Pusat Identitas IAM yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat Layanan AWS yang Berfungsi dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait Layanan. Pilih Ya bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.
Izin peran terkait layanan untuk Pusat Identitas IAM
Pusat Identitas IAM menggunakan peran terkait layanan bernama AWSServiceRoleForSSO untuk memberikan izin Pusat Identitas IAM untuk mengelola AWS sumber daya, termasuk peran IAM, kebijakan, dan IDP SAMP atas nama Anda.
AWSServiceRoleForPeran terkait layanan SSO mempercayai layanan berikut untuk mengambil peran:
-
Pusat Identitas IAM (awalan layanan:)
sso
Kebijakan izin peran terkait layanan AWSService RoleFor SSO memungkinkan Pusat Identitas IAM menyelesaikan peran berikut di jalur “/aws-reserved/sso.amazonaws.com/” dan dengan awalan nama “SSO_”: AWSReserved
-
iam:AttachRolePolicy -
iam:CreateRole -
iam:DeleteRole -
iam:DeleteRolePermissionsBoundary -
iam:DeleteRolePolicy -
iam:DetachRolePolicy -
iam:GetRole -
iam:ListRolePolicies -
iam:PutRolePolicy -
iam:PutRolePermissionsBoundary -
iam:ListAttachedRolePolicies
Kebijakan izin peran terkait layanan AWSService RoleFor SSO memungkinkan Pusat Identitas IAM untuk menyelesaikan hal berikut pada penyedia SAMP dengan awalan nama sebagai “_”: AWSSSO
-
iam:CreateSAMLProvider -
iam:GetSAMLProvider -
iam:UpdateSAMLProvider -
iam:DeleteSAMLProvider
Kebijakan izin peran terkait layanan AWSService RoleFor SSO memungkinkan Pusat Identitas IAM menyelesaikan hal-hal berikut di semua organisasi:
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
Kebijakan izin peran terkait layanan AWSService RoleFor SSO memungkinkan Pusat Identitas IAM menyelesaikan hal berikut pada semua peran IAM (*):
-
iam:listRoles
Kebijakan izin peran terkait layanan AWSService RoleFor SSO memungkinkan Pusat Identitas IAM menyelesaikan hal berikut pada “arn:aws:iam: :*:”: role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO
-
iam:GetServiceLinkedRoleDeletionStatus -
iam:DeleteServiceLinkedRole
Kebijakan izin peran memungkinkan Pusat Identitas IAM menyelesaikan tindakan berikut pada sumber daya.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin peran tertaut layanan dalam Panduan Pengguna IAM.
Membuat peran terkait layanan untuk IAM Identity Center
Anda tidak perlu membuat peran terkait layanan secara manual. Setelah diaktifkan, IAM Identity Center membuat peran terkait layanan di semua akun dalam organisasi di Organizations. AWS IAM Identity Center juga menciptakan peran terkait layanan yang sama di setiap akun yang kemudian ditambahkan ke organisasi Anda. Peran ini memungkinkan Pusat Identitas IAM untuk mengakses sumber daya setiap akun atas nama Anda.
Catatan
-
Jika Anda masuk ke akun AWS Organizations manajemen, akun tersebut akan menggunakan peran Anda yang saat ini masuk dan bukan peran terkait layanan. Ini mencegah eskalasi hak istimewa.
-
Ketika IAM Identity Center melakukan operasi IAM apa pun di akun AWS Organizations manajemen, semua operasi terjadi dengan menggunakan kredensyal kepala IAM. Ini memungkinkan log in CloudTrail untuk memberikan visibilitas siapa yang membuat semua perubahan hak istimewa di akun manajemen.
penting
Jika Anda menggunakan layanan IAM Identity Center sebelum 7 Desember 2017, ketika mulai mendukung peran terkait layanan, maka IAM Identity Center membuat peran AWSService RoleFor SSO di akun Anda. Untuk mempelajari lebih lanjut, lihat Peran Baru yang Muncul di Akun IAM Saya.
Jika Anda menghapus peran tautan layanan ini dan kemudian perlu membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran di akun Anda.
Mengedit peran terkait layanan untuk IAM Identity Center
IAM Identity Center tidak mengizinkan Anda mengedit peran terkait layanan AWSService RoleFor SSO. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit peran tertaut layanan dalam Panduan Pengguna IAM.
Menghapus peran terkait layanan untuk IAM Identity Center
Anda tidak perlu menghapus peran AWSService RoleFor SSO secara manual. Ketika Akun AWS dihapus dari AWS organisasi, IAM Identity Center secara otomatis membersihkan sumber daya dan menghapus peran terkait layanan dari itu. Akun AWS
Anda juga dapat menggunakan konsol IAM, IAM CLI, atau IAM API untuk menghapus peran terkait layanan secara manual. Untuk melakukannya, Anda harus membersihkan sumber daya untuk peran tertaut layanan terlebih dahulu, lalu Anda dapat menghapusnya secara manual.
catatan
Jika layanan Pusat Identitas IAM menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
Untuk menghapus sumber daya Pusat Identitas IAM yang digunakan oleh SSO AWSService RoleFor
-
Hapus akses pengguna dan grup ke Akun AWSuntuk semua pengguna dan grup yang memiliki akses ke Akun AWS.
-
Hapus set izin di Pusat IAM Identitasbahwa Anda telah dikaitkan dengan Akun AWS.
Untuk menghapus peran terkait layanan secara manual menggunakan IAM
Gunakan konsol IAM, IAM CLI, atau IAM API untuk menghapus peran terkait layanan SSO. AWSService RoleFor Untuk informasi selengkapnya, silakan lihat Menghapus Peran Terkait Layanan di Panduan Pengguna IAM.
