Esempi di policy personalizzate Autorizzazioni necessarie per utilizzare la console IAM Identity Center

Esempi di policy basate sull'identità per Identity Center IAM

Questo argomento fornisce esempi di IAM politiche che è possibile creare per concedere a utenti e ruoli le autorizzazioni per amministrare Identity CenterIAM.

Importante

Ti consigliamo di consultare innanzitutto gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle risorse dell'Identity Center. IAM Per ulteriori informazioni, consulta Panoramica sulla gestione delle autorizzazioni di accesso alle risorse IAM dell'Identity Center.

In questa sezione vengono trattati gli argomenti seguenti:

Esempi di policy personalizzate
Autorizzazioni necessarie per utilizzare la console IAM Identity Center

Esempi di policy personalizzate

Questa sezione fornisce esempi di casi d'uso comuni che richiedono una IAM politica personalizzata. Questi criteri di esempio sono criteri basati sull'identità, che non specificano l'elemento Principal. Questo perché con una politica basata sull'identità non si specifica il principale che ottiene l'autorizzazione. Invece, alleghi la politica al principale. Quando si associa una politica di autorizzazione basata sull'identità a un IAM ruolo, il principale identificato nella politica di attendibilità del ruolo ottiene le autorizzazioni. È possibile creare politiche basate sull'identità IAM e associarle a utenti, gruppi e/o ruoli. È inoltre possibile applicare queste politiche agli utenti di IAM Identity Center quando si crea un set di autorizzazioni in IAM Identity Center.

Nota

Utilizza questi esempi per creare policy per il tuo ambiente e assicurati di testare sia i casi di test positivi («accesso concesso») che quelli negativi («accesso negato») prima di implementare queste politiche nell'ambiente di produzione. Per ulteriori informazioni sulle IAM politiche di test, consulta Testing IAM policies with the IAM policy simulator nella Guida per l'IAMutente.

Argomenti

Esempio 1: consentire a un utente di visualizzare IAM Identity Center
Esempio 2: consentire a un utente di gestire le autorizzazioni per Account AWS in IAM Identity Center
Esempio 3: consentire a un utente di gestire le applicazioni in IAM Identity Center
Esempio 4: consentire a un utente di gestire utenti e gruppi nella directory dell'Identity Center

Esempio 1: consentire a un utente di visualizzare IAM Identity Center

La seguente politica di autorizzazioni concede autorizzazioni di sola lettura a un utente in modo che possa visualizzare tutte le impostazioni e le informazioni sulla directory configurate in Identity Center. IAM

Nota

Questo criterio viene fornito solo a scopo esemplificativo. In un ambiente di produzione, si consiglia di utilizzare ViewOnlyAccess AWS politica gestita per IAM Identity Center.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ds:DescribeDirectories",
                "ds:DescribeTrusts",
                "iam:ListPolicies",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListParents",
                "organizations:ListChildren",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent",
                "sso:ListManagedPoliciesInPermissionSet",
                "sso:ListPermissionSetsProvisionedToAccount",
                "sso:ListAccountAssignments",
                "sso:ListAccountsForProvisionedPermissionSet",
                "sso:ListPermissionSets",
                "sso:DescribePermissionSet",
                "sso:GetInlinePolicyForPermissionSet",
                "sso-directory:DescribeDirectory",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups"
            ],
            "Resource": "*"
        }
    ]
}

Esempio 2: consentire a un utente di gestire le autorizzazioni per Account AWS in IAM Identity Center

La seguente politica di autorizzazioni concede le autorizzazioni necessarie per consentire a un utente di creare, gestire e distribuire set di autorizzazioni per Account AWS.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:AttachManagedPolicyToPermissionSet",
                "sso:CreateAccountAssignment",
                "sso:CreatePermissionSet",
                "sso:DeleteAccountAssignment",
                "sso:DeleteInlinePolicyFromPermissionSet",
                "sso:DeletePermissionSet",
                "sso:DetachManagedPolicyFromPermissionSet",
                "sso:ProvisionPermissionSet",
                "sso:PutInlinePolicyToPermissionSet",
                "sso:UpdatePermissionSet"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IAMListPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AccessToSSOProvisionedRoles",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRole",
                "iam:ListAttachedRolePolicies",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:UpdateRole",
                "iam:UpdateRoleDescription"
            ],
            "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetSAMLProvider"
            ],
            "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE"
        }
    ]
}

Nota

Le autorizzazioni aggiuntive elencate "Sid": "AccessToSSOProvisionedRoles" nelle sezioni"Sid": "IAMListPermissions", e sono necessarie solo per consentire all'utente di creare assegnazioni nella AWS Organizations account di gestione. In alcuni casi, potrebbe essere necessario aggiungere anche iam:UpdateSAMLProvider a queste sezioni.

Esempio 3: consentire a un utente di gestire le applicazioni in IAM Identity Center

La seguente politica di autorizzazioni concede le autorizzazioni per consentire a un utente di visualizzare e configurare le applicazioni in IAM Identity Center, incluse le applicazioni SaaS preintegrate dall'interno del catalogo Identity Center. IAM

Nota

L'sso:AssociateProfileoperazione utilizzata nel seguente esempio di policy è necessaria per la gestione delle assegnazioni di utenti e gruppi alle applicazioni. Consente inoltre a un utente di assegnare utenti e gruppi a Account AWS utilizzando i set di autorizzazioni esistenti. Se un utente deve gestire Account AWS accedere all'interno di IAM Identity Center e richiede le autorizzazioni necessarie per gestire i set di autorizzazioni, vedereEsempio 2: consentire a un utente di gestire le autorizzazioni per Account AWS in IAM Identity Center.

A ottobre 2020, molte di queste operazioni sono disponibili solo tramite il AWS console. Questa policy di esempio include azioni di «lettura» come list, get e search, che in questo caso sono rilevanti per il funzionamento senza errori della console.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:AssociateProfile",
                "sso:CreateApplicationInstance",
                "sso:ImportApplicationInstanceServiceProviderMetadata",
                "sso:DeleteApplicationInstance",
                "sso:DeleteProfile",
                "sso:DisassociateProfile",
                "sso:GetApplicationTemplate",
                "sso:UpdateApplicationInstanceServiceProviderConfiguration",
                "sso:UpdateApplicationInstanceDisplayData",
                "sso:DeleteManagedApplicationInstance",
                "sso:UpdateApplicationInstanceStatus",
                "sso:GetManagedApplicationInstance",
                "sso:UpdateManagedApplicationInstanceStatus",
                "sso:CreateManagedApplicationInstance",
                "sso:UpdateApplicationInstanceSecurityConfiguration",
                "sso:UpdateApplicationInstanceResponseConfiguration",
                "sso:GetApplicationInstance",
                "sso:CreateApplicationInstanceCertificate",
                "sso:UpdateApplicationInstanceResponseSchemaConfiguration",
                "sso:UpdateApplicationInstanceActiveCertificate",
                "sso:DeleteApplicationInstanceCertificate",
                "sso:ListApplicationInstanceCertificates",
                "sso:ListApplicationTemplates",
                "sso:ListApplications",
                "sso:ListApplicationInstances",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso:ListProfileAssociations",
                "sso:ListInstances",
                "sso:GetProfile",
                "sso:GetSSOStatus",
                "sso:GetSsoConfiguration",
                "sso-directory:DescribeDirectory",
                "sso-directory:DescribeUsers",
                "sso-directory:ListMembersInGroup",
                "sso-directory:SearchGroups",
                "sso-directory:SearchUsers"
            ],
            "Resource": "*"
        }
    ]
}

Esempio 4: consentire a un utente di gestire utenti e gruppi nella directory dell'Identity Center

La seguente politica di autorizzazioni concede le autorizzazioni per consentire a un utente di creare, visualizzare, modificare ed eliminare utenti e gruppi in IAM Identity Center.

In alcuni casi, le modifiche dirette a utenti e gruppi in IAM Identity Center sono limitate. Ad esempio, quando Active Directory o un provider di identità esterno con il provisioning automatico abilitato viene selezionato come origine dell'identità.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso-directory:ListGroupsForUser",
                "sso-directory:DisableUser",
                "sso-directory:EnableUser",
                "sso-directory:SearchGroups",
                "sso-directory:DeleteGroup",
                "sso-directory:AddMemberToGroup",
                "sso-directory:DescribeDirectory",
                "sso-directory:UpdateUser",
                "sso-directory:ListMembersInGroup",
                "sso-directory:CreateUser",
                "sso-directory:DescribeGroups",
                "sso-directory:SearchUsers",
                "sso:ListDirectoryAssociations",
                "sso-directory:RemoveMemberFromGroup",
                "sso-directory:DeleteUser",
                "sso-directory:DescribeUsers",
                "sso-directory:UpdateGroup",
                "sso-directory:CreateGroup"
            ],
            "Resource": "*"
        }
    ]
}

Autorizzazioni necessarie per utilizzare la console IAM Identity Center

Affinché un utente possa utilizzare la console IAM Identity Center senza errori, sono necessarie autorizzazioni aggiuntive. Se è stata creata una IAM politica più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con quella politica. L'esempio seguente elenca il set di autorizzazioni che potrebbero essere necessarie per garantire un funzionamento senza errori all'interno della console di Identity Center. IAM


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:DescribeAccountAssignmentCreationStatus",
                "sso:DescribeAccountAssignmentDeletionStatus",
                "sso:DescribePermissionSet",
                "sso:DescribePermissionSetProvisioningStatus",
                "sso:DescribePermissionsPolicies",
                "sso:DescribeRegisteredRegions",
                "sso:GetApplicationInstance",
                "sso:GetApplicationTemplate",
                "sso:GetInlinePolicyForPermissionSet",
                "sso:GetManagedApplicationInstance",
                "sso:GetMfaDeviceManagementForDirectory",
                "sso:GetPermissionSet",
                "sso:GetPermissionsPolicy",
                "sso:GetProfile",
                "sso:GetSharedSsoConfiguration",
                "sso:GetSsoConfiguration",
                "sso:GetSSOStatus",
                "sso:GetTrust",
                "sso:ListAccountAssignmentCreationStatus",
                "sso:ListAccountAssignmentDeletionStatus",
                "sso:ListAccountAssignments",
                "sso:ListAccountsForProvisionedPermissionSet",
                "sso:ListApplicationInstanceCertificates",
                "sso:ListApplicationInstances",
                "sso:ListApplications",
                "sso:ListApplicationTemplates",
                "sso:ListDirectoryAssociations",
                "sso:ListInstances",
                "sso:ListManagedPoliciesInPermissionSet",
                "sso:ListPermissionSetProvisioningStatus",
                "sso:ListPermissionSets",
                "sso:ListPermissionSetsProvisionedToAccount",
                "sso:ListProfileAssociations",
                "sso:ListProfiles",
                "sso:ListTagsForResource",
                "sso-directory:DescribeDirectory",
                "sso-directory:DescribeGroups",
                "sso-directory:DescribeUsers",
                "sso-directory:ListGroupsForUser",
                "sso-directory:ListMembersInGroup",
                "sso-directory:SearchGroups",
                "sso-directory:SearchUsers"
            ],
            "Resource": "*"
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Panoramica sulla gestione degli accessi

AWS policy gestite