Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Azioni, risorse e chiavi di condizione per AWS IAM Identity Center (successore di AWS Single Sign-On)
AWS IAMIdentity Center (successore di AWS Single Sign-On) (prefisso del servizio:sso) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle politiche di autorizzazione. IAM
Riferimenti:
-
Scopri come configurare questo servizio.
-
Visualizza un elenco delle operazioni disponibili per questo servizio. API
-
Scopri come proteggere questo servizio e le sue risorse utilizzando le politiche di IAM autorizzazione.
Argomenti
Azioni definite da AWS IAM Identity Center (successore di AWS Single Sign-On)
È possibile specificare le seguenti azioni nell'Actionelemento di una IAM dichiarazione politica. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una politica, in genere si consente o si nega l'accesso all'APIoperazione o al CLI comando con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.
La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, è possibile specificarne uno ARN di quel tipo in un'istruzione con tale azione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'Resourceelemento di una IAM policy, è necessario includere uno schema ARN o per ogni tipo di risorsa richiesto. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.
La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.
Nota
Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.
Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (*obbligatorio) | Chiavi di condizione | Operazioni dipendenti |
|---|---|---|---|---|---|
| AssociateDirectory | Concede l'autorizzazione a connettere una directory che deve essere utilizzata da AWS IAM Identity Center | Scrittura |
ds:AuthorizeApplication |
||
| AssociateProfile | Concede l'autorizzazione per creare un'associazione tra un utente o un gruppo di utenti di una directory e un profilo | Scrittura | |||
| AttachCustomerManagedPolicyReferenceToPermissionSet | Concede l'autorizzazione per allegare un riferimento a policy gestita dal cliente a un set di autorizzazioni | Gestione delle autorizzazioni | |||
| AttachManagedPolicyToPermissionSet | Concede l'autorizzazione ad allegare una politica AWS gestita a un set di autorizzazioni | Gestione delle autorizzazioni | |||
| CreateAccountAssignment | Concede l'autorizzazione ad assegnare l'accesso a un Principal per una determinata area Account AWS utilizzando un set di autorizzazioni specificato | Scrittura | |||
| CreateApplication | Autorizza l'utente a creare una nuova applicazione. | Scrittura | |||
| CreateApplicationAssignment | Concede l'autorizzazione per creare un'assegnazione dell'applicazione | Scrittura | |||
| CreateApplicationInstance | Concede l'autorizzazione per aggiungere un'istanza dell'applicazione a Identity Center AWS IAM | Scrittura | |||
| CreateApplicationInstanceCertificate | Concede l'autorizzazione per aggiungere un nuovo certificato per un'istanza di applicazione | Scrittura | |||
| CreateInstance | Concede l'autorizzazione per creare un'istanza del centro identità | Scrittura |
iam:CreateServiceLinkedRole organizations:DescribeOrganization |
||
| CreateInstanceAccessControlAttributeConfiguration | Concede l'autorizzazione per abilitare l'istanza ABAC e specificare gli attributi | Scrittura |
iam:AttachRolePolicy iam:CreateRole iam:DeleteRole iam:DeleteRolePolicy iam:DetachRolePolicy iam:GetRole iam:ListAttachedRolePolicies iam:ListRolePolicies iam:PutRolePolicy iam:UpdateAssumeRolePolicy |
||
| CreateManagedApplicationInstance | Concede l'autorizzazione per aggiungere un'istanza di applicazione gestita a Identity Center AWS IAM | Scrittura | |||
| CreatePermissionSet | Concede l'autorizzazione per creare un set di autorizzazioni | Write | |||
| CreateProfile | Concede l'autorizzazione per creare un profilo per un'istanza di applicazione | Write | |||
| CreateTrust | Concede l'autorizzazione per creare un trust federativo in un account di destinazione | Scrittura | |||
| CreateTrustedTokenIssuer | Concede l'autorizzazione per creare un emittente del token affidabile per un'istanza | Scrittura | |||
| DeleteAccountAssignment | Concede l'autorizzazione a eliminare l'accesso di un Principal da una determinata area Account AWS utilizzando un set di autorizzazioni specificato | Scrittura | |||
| DeleteApplication | Concede l'autorizzazione per eliminare un'app. | Scrittura | |||
| DeleteApplicationAccessScope | Concede l'autorizzazione per eliminare un ambito di accesso a un'applicazione | Scrittura | |||
| DeleteApplicationAssignment | Concede l'autorizzazione per eliminare un'assegnazione dell'applicazione | Scrittura | |||
| DeleteApplicationAuthenticationMethod | Concede l'autorizzazione per eliminare un metodo di autenticazione per un'applicazione | Scrittura | |||
| DeleteApplicationGrant | Concede l'autorizzazione per eliminare una concessione da un'applicazione | Scrittura | |||
| DeleteApplicationInstance | Concede l'autorizzazione per eliminare l'istanza dell'applicazione | Write | |||
| DeleteApplicationInstanceCertificate | Concede l'autorizzazione per eliminare un certificato inattivo o scaduto dall'istanza dell'applicazione | Scrittura | |||
| DeleteInlinePolicyFromPermissionSet | Concede l'autorizzazione per eliminare la policy in linea da un set di autorizzazioni specificato | Scrittura | |||
| DeleteInstance | Concede l'autorizzazione per eliminare un'istanza del centro identità | Scrittura | |||
| DeleteInstanceAccessControlAttributeConfiguration | Concede l'autorizzazione a disabilitare ABAC e rimuovere l'elenco degli attributi per l'istanza | Scrittura | |||
| DeleteManagedApplicationInstance | Concede l'autorizzazione per eliminare l'istanza dell'applicazione gestita | Write | |||
| DeletePermissionSet | Concede l'autorizzazione per eliminare un set di autorizzazioni | Scrittura | |||
| DeletePermissionsBoundaryFromPermissionSet | Concede l'autorizzazione per rimuovere il limite delle autorizzazioni da un set di autorizzazioni | Gestione delle autorizzazioni | |||
| DeletePermissionsPolicy | Concede l'autorizzazione per eliminare la policy di autorizzazione associata a un set di autorizzazioni | Gestione delle autorizzazioni | |||
| DeleteProfile | Concede l'autorizzazione per eliminare il profilo per un'istanza di applicazione | Scrittura | |||
| DeleteTrustedTokenIssuer | Concede l'autorizzazione per eliminare un emittente del token affidabile per un'istanza | Scrittura | |||
| DescribeAccountAssignmentCreationStatus | Concede l'autorizzazione per descrivere lo stato della richiesta di creazione dell'assegnazione | Lettura | |||
| DescribeAccountAssignmentDeletionStatus | Concede l'autorizzazione per descrivere lo stato di una richiesta di eliminazione dell'assegnazione | Lettura | |||
| DescribeApplication | Concede l'autorizzazione per ottenere le informazioni su un'applicazione | Lettura | |||
| DescribeApplicationAssignment | Concede l'autorizzazione per recuperare un'assegnazione dell'applicazione | Lettura | |||
| DescribeApplicationProvider | Concede l'autorizzazione per descrivere un provider di applicazioni | Lettura | |||
| DescribeDirectories | Concede l'autorizzazione per ottenere le informazioni sulle directory di questo account | Lettura | |||
| DescribeInstance | Concede l'autorizzazione per ottenere le informazioni su un'istanza del centro identità | Lettura | |||
| DescribeInstanceAccessControlAttributeConfiguration | Concede l'autorizzazione per ottenere l'elenco degli attributi utilizzati dall'istanza per ABAC | Lettura | |||
| DescribePermissionSet | Concede l'autorizzazione per descrivere un set di autorizzazioni | Lettura | |||
| DescribePermissionSetProvisioningStatus | Concede l'autorizzazione per descrivere lo stato per la determinata richiesta di provisioning del set di autorizzazioni | Lettura | |||
| DescribePermissionsPolicies | Concede l'autorizzazione per restituire tutte le policy di autorizzazione associate a un set di autorizzazioni | Lettura | |||
| DescribeRegisteredRegions | Concede l'autorizzazione per ottenere le regioni in cui l'organizzazione ha abilitato Identity Center AWS IAM | Lettura | |||
| DescribeTrustedTokenIssuer | Concede l'autorizzazione per descrivere un emittente del token affidabile per un'istanza | Lettura | |||
| DescribeTrusts | Concede l'autorizzazione per ottenere le informazioni sulle relazioni di trust di questo account | Lettura | |||
| DetachCustomerManagedPolicyReferenceFromPermissionSet | Concede l'autorizzazione per scollegare un riferimento a policy gestita dal cliente da un set di autorizzazioni | Gestione delle autorizzazioni | |||
| DetachManagedPolicyFromPermissionSet | Concede l'autorizzazione a scollegare la politica AWS gestita allegata dal set di autorizzazioni specificato | Gestione delle autorizzazioni | |||
| DisassociateDirectory | Concede l'autorizzazione a dissociare una directory da utilizzare da Identity Center AWS IAM | Scrittura |
ds:UnauthorizeApplication |
||
| DisassociateProfile | Concede l'autorizzazione per dissociare un utente o un gruppo di directory da un profilo | Scrittura | |||
| GetApplicationAccessScope | Concede l'autorizzazione per ottenere un ambito di accesso a un'applicazione | Lettura | |||
| GetApplicationAssignmentConfiguration | Concede l'autorizzazione per leggere le configurazioni delle assegnazioni per un'applicazione | Lettura | |||
| GetApplicationAuthenticationMethod | Concede l'autorizzazione per ottenere un metodo di autenticazione per un'applicazione | Lettura | |||
| GetApplicationGrant | Concede l'autorizzazione per ottenere dettagli su una concessione appartenente a un'applicazione | Lettura | |||
| GetApplicationInstance | Concede l'autorizzazione per richiamare i dettagli per un'istanza di applicazione | Read | |||
| GetApplicationTemplate | Concede l'autorizzazione per richiamare i dettagli del modello di applicazione | Lettura | |||
| GetInlinePolicyForPermissionSet | Concede l'autorizzazione per ottenere la policy in linea assegnata al set di autorizzazioni | Lettura | |||
| GetManagedApplicationInstance | Concede l'autorizzazione per richiamare i dettagli per un'istanza di applicazione | Read | |||
| GetMfaDeviceManagementForDirectory | Concede l'autorizzazione per richiamare le impostazioni di gestione del dispositivo MFA per la directory | Read | |||
| GetPermissionSet | Concede l'autorizzazione per richiamare i dettagli di un set di autorizzazioni | Lettura | |||
| GetPermissionsBoundaryForPermissionSet | Concede l'autorizzazione per ottenere il limite di autorizzazione per un set di autorizzazioni | Lettura | |||
| GetPermissionsPolicy | Concede l'autorizzazione per restituire tutte le policy di autorizzazione associate a un set di autorizzazioni | Read |
sso:DescribePermissionsPolicies |
||
| GetProfile | Concede l'autorizzazione per richiamare un profilo per un'istanza di applicazione | Lettura | |||
| GetSSOStatus | Concede l'autorizzazione a verificare se AWS IAM Identity Center è abilitato | Lettura | |||
| GetSharedSsoConfiguration | Concede l'autorizzazione a recuperare la configurazione condivisa per l'istanza corrente SSO | Lettura | |||
| GetSsoConfiguration | Concede l'autorizzazione a recuperare la configurazione per l'istanza corrente SSO | Lettura | |||
| GetTrust | Concede l'autorizzazione per richiamare il trust federativo in un account di destinazione | Lettura | |||
| ImportApplicationInstanceServiceProviderMetadata | Concede l'autorizzazione ad aggiornare l'istanza dell'applicazione caricando un file di SAML metadati dell'applicazione fornito dal fornitore di servizi | Scrittura | |||
| ListAccountAssignmentCreationStatus | Concede l'autorizzazione a elencare lo stato delle richieste di creazione dell' Account AWS assegnazione per un'istanza specificata SSO | Elenco | |||
| ListAccountAssignmentDeletionStatus | Concede l'autorizzazione a elencare lo stato delle richieste di eliminazione delle Account AWS assegnazioni per un'istanza specificata SSO | Elenco | |||
| ListAccountAssignments | Concede l'autorizzazione a elencare l'assegnatario del specificato con il set di autorizzazioni specificato Account AWS | Elenco | |||
| ListAccountAssignmentsForPrincipal | Concede l'autorizzazione per elencare gli account assegnati a un utente o gruppo | Elenco | |||
| ListAccountsForProvisionedPermissionSet | Concede l'autorizzazione a elencare tutti gli AWS account in cui viene fornito il set di autorizzazioni specificato | Elenco | |||
| ListApplicationAccessScopes | Concede l'autorizzazione per elencare gli ambiti di accesso a un'applicazione | Elenco | |||
| ListApplicationAssignments | Concede l'autorizzazione per elencare le assegnazioni dell'applicazione | Elenco | |||
| ListApplicationAssignmentsForPrincipal | Concede l'autorizzazione per elencare le applicazioni assegnate a un utente o gruppo | Elenco | |||
| ListApplicationAuthenticationMethods | Concede l'autorizzazione per elencare i metodi di autenticazione per un'applicazione | Elenco | |||
| ListApplicationGrants | Concede l'autorizzazione per elencare le concessioni da un'applicazione | Elenco | |||
| ListApplicationInstanceCertificates | Concede l'autorizzazione per richiamare tutti i certificati per una determinata istanza dell'applicazione | Read | |||
| ListApplicationInstances | Concede l'autorizzazione per richiamare tutte le istanze dell'applicazione | Elenco |
sso:GetApplicationInstance |
||
| ListApplicationProviders | Concede l'autorizzazione per elencare i provider di applicazioni | Elenco | |||
| ListApplicationTemplates | Concede l'autorizzazione per richiamare tutti i modelli di applicazione supportati | Elenco |
sso:GetApplicationTemplate |
||
| ListApplications | Concede l'autorizzazione a recuperare tutte le applicazioni associate all'istanza di Identity Center IAM | Elenco | |||
| ListCustomerManagedPolicyReferencesInPermissionSet | Concede l'autorizzazione per elencare i riferimenti alle policy gestita dal cliente collegate a un set di autorizzazioni | Elenco | |||
| ListDirectoryAssociations | Concede l'autorizzazione a recuperare i dettagli sulla directory connessa a Identity Center AWS IAM | Lettura | |||
| ListInstances | Concede l'autorizzazione a elencare le SSO istanze a cui il chiamante ha accesso | Elenco | |||
| ListManagedPoliciesInPermissionSet | Concede l'autorizzazione a elencare le politiche AWS gestite allegate a un set di autorizzazioni specificato | Elenco | |||
| ListPermissionSetProvisioningStatus | Concede l'autorizzazione a elencare lo stato delle richieste di Permission Set Provisioning per un'istanza specificata SSO | Elenco | |||
| ListPermissionSets | Concede l'autorizzazione per richiamare tutti i set di autorizzazioni | Elenco | |||
| ListPermissionSetsProvisionedToAccount | Concede l'autorizzazione a elencare tutti i set di autorizzazioni assegnati a una determinata area Account AWS | Elenco | |||
| ListProfileAssociations | Concede l'autorizzazione per restituire l'utente o il gruppo di utenti della directory associati al profilo | Read | |||
| ListProfiles | Concede l'autorizzazione per richiamare tutti i profili per un'istanza di applicazione | Elenco |
sso:GetProfile |
||
| ListTagsForResource | Concede l'autorizzazione per elencare i tag allegati a una risorsa specificata | Lettura | |||
| ListTrustedTokenIssuers | Concede l'autorizzazione per elencare gli emittenti del token affidabili per un'istanza | Elenco | |||
| ProvisionPermissionSet | Concede l'autorizzazione per eseguire il provisioning di un set di autorizzazioni specificato alla destinazione specificata | Scrittura | |||
| PutApplicationAccessScope | Concede l'autorizzazione per creare/aggiornare un ambito di accesso a un'applicazione | Scrittura | |||
| PutApplicationAssignmentConfiguration | Concede l'autorizzazione per aggiungere le configurazioni degli incarichi a un'applicazione | Scrittura | |||
| PutApplicationAuthenticationMethod | Concede l'autorizzazione per creare/aggiornare un metodo di autenticazione per un'applicazione | Scrittura | |||
| PutApplicationGrant | Concede l'autorizzazione per creare/aggiornare una concessione a un'applicazione | Scrittura | |||
| PutInlinePolicyToPermissionSet | Concede l'autorizzazione ad allegare una politica IAM in linea a un set di autorizzazioni | Scrittura | |||
| PutMfaDeviceManagementForDirectory | Concede l'autorizzazione per inserire le impostazioni di gestione del dispositivo MFA per la directory | Scrittura | |||
| PutPermissionsBoundaryToPermissionSet | Concede l'autorizzazione per aggiungere il limite di autorizzazione a un set di autorizzazioni | Gestione delle autorizzazioni | |||
| PutPermissionsPolicy | Concede l'autorizzazione per aggiungere una policy a un set di autorizzazioni | Gestione delle autorizzazioni | |||
| SearchGroups | Concede l'autorizzazione per ricercare i gruppi all'interno della directory associata | Read |
ds:DescribeDirectories |
||
| SearchUsers | Concede l'autorizzazione per ricercare utenti all'interno della directory associata | Lettura |
ds:DescribeDirectories |
||
| StartSSO | Concede l'autorizzazione per inizializzare Identity Center AWS IAM | Scrittura |
organizations:DescribeOrganization organizations:EnableAWSServiceAccess |
||
| TagResource | Concede l'autorizzazione per associare un set di tag a una risorsa specificata | Assegnazione di tag | |||
| UntagResource | Concede l'autorizzazione per dissociare un set di tag da una risorsa specificata | Assegnazione di tag | |||
| UpdateApplication | Concede l'autorizzazione per aggiornare un'applicazione | Scrittura | |||
| UpdateApplicationInstanceActiveCertificate | Concede l'autorizzazione per impostare un certificato come attivo per questa istanza dell'applicazione | Write | |||
| UpdateApplicationInstanceDisplayData | Concede l'autorizzazione per aggiornare i dati di visualizzazione di un'istanza dell'applicazione | Write | |||
| UpdateApplicationInstanceResponseConfiguration | Concede l'autorizzazione per aggiornare la configurazione della risposta federata dell'istanza dell'applicazione | Write | |||
| UpdateApplicationInstanceResponseSchemaConfiguration | Concede l'autorizzazione per aggiornare la configurazione dello schema della risposta federata dell'istanza dell'applicazione | Write | |||
| UpdateApplicationInstanceSecurityConfiguration | Concede l'autorizzazione per aggiornare i dettagli di sicurezza per l'istanza dell'applicazione | Write | |||
| UpdateApplicationInstanceServiceProviderConfiguration | Concede l'autorizzazione per aggiornare la configurazione relativa al provider di servizi dell'istanza dell'applicazione | Write | |||
| UpdateApplicationInstanceStatus | Concede l'autorizzazione per aggiornare lo stato di un'istanza di applicazione | Write | |||
| UpdateDirectoryAssociation | Concede l'autorizzazione per aggiornare la mappatura degli attributi dell'utente per la directory connessa | Scrittura | |||
| UpdateInstance | Concede l'autorizzazione per aggiornare un'istanza del centro identità | Scrittura | |||
| UpdateInstanceAccessControlAttributeConfiguration | Concede l'autorizzazione ad aggiornare gli attributi da utilizzare con l'istanza per ABAC | Scrittura | |||
| UpdateManagedApplicationInstanceStatus | Concede l'autorizzazione per aggiornare lo stato di un'istanza di applicazione gestita | Scrittura | |||
| UpdatePermissionSet | Concede l'autorizzazione per aggiornare il set di autorizzazioni | Gestione delle autorizzazioni | |||
| UpdateProfile | Concede l'autorizzazione per aggiornare il profilo per un'istanza di applicazione | Scrittura | |||
| UpdateSSOConfiguration | Concede l'autorizzazione ad aggiornare la configurazione per l'istanza corrente SSO | Scrittura | |||
| UpdateTrust | Concede l'autorizzazione per aggiornare il trust federativo in un account di destinazione | Scrittura | |||
| UpdateTrustedTokenIssuer | Concede l'autorizzazione per aggiornare un emittente del token affidabile per un'istanza | Scrittura |
Tipi di risorse definiti da AWS IAM Identity Center (successore di AWS Single Sign-On)
I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'Resourceelemento delle dichiarazioni sulla politica di IAM autorizzazione. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.
| Tipi di risorsa | ARN | Chiavi di condizione |
|---|---|---|
| PermissionSet |
arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}
|
|
| Account |
arn:${Partition}:sso:::account/${AccountId}
|
|
| Instance |
arn:${Partition}:sso:::instance/${InstanceId}
|
|
| Application |
arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}
|
|
| TrustedTokenIssuer |
arn:${Partition}:sso::${AccountId}:trustedTokenIssuer/${InstanceId}/${TrustedTokenIssuerId}
|
|
| ApplicationProvider |
arn:${Partition}:sso::aws:applicationProvider/${ApplicationProviderId}
|
Chiavi condizionali per AWS IAM Identity Center (successore di AWS Single Sign-On)
AWS IAMIdentity Center (successore di AWS Single Sign-On) definisce le seguenti chiavi di condizione che possono essere utilizzate nell'elemento di una policy. Condition IAM Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.
Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta Chiavi di condizione globali disponibili.
| Chiavi di condizione | Descrizione | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra l'accesso per i tag passati nella richiesta | Stringa |
| aws:ResourceTag/${TagKey} | Filtra l'accesso per i tag associati alla risorsa | Stringa |
| aws:TagKeys | Filtra l'accesso tramite le chiavi di tag passate nella richiesta | ArrayOfString |
| sso:ApplicationAccount | Filtra l'accesso in base all'account che crea l'applicazione | Stringa |
