Esempi di policy personalizzate Autorizzazioni necessarie per utilizzare la console IAM Identity Center

Esempi di policy basate sull'identità per IAM Identity Center

Questo argomento fornisce esempi di policy IAM che puoi creare per concedere a utenti e ruoli le autorizzazioni per amministrare IAM Identity Center.

Importante

Ti consigliamo di esaminare innanzitutto gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle risorse del tuo IAM Identity Center. Per ulteriori informazioni, consulta Panoramica della gestione delle autorizzazioni di accesso alle risorse dell'IAM Identity Center.

In questa sezione vengono trattati gli argomenti seguenti:

Esempi di policy personalizzate
Autorizzazioni necessarie per utilizzare la console IAM Identity Center

Esempi di policy personalizzate

Questa sezione fornisce esempi di casi d'uso comuni che richiedono una policy IAM personalizzata. Queste politiche di esempio sono politiche basate sull'identità, che non specificano l'elemento Principal. Questo perché con una politica basata sull'identità non si specifica il principale che ottiene l'autorizzazione. Al contrario, si allega la politica al preside. Quando colleghi una politica di autorizzazione basata sull'identità a un ruolo IAM, il principale identificato nella politica di fiducia del ruolo ottiene le autorizzazioni. Puoi creare policy basate sull'identità in IAM e collegarle a utenti, gruppi e/o ruoli. Puoi anche applicare queste policy agli utenti di IAM Identity Center quando crei un set di autorizzazioni in IAM Identity Center.

Nota

Usa questi esempi per creare policy per il tuo ambiente e assicurati di testare sia i casi di test positivi («accesso concesso») che quelli negativi («accesso negato») prima di implementare queste politiche nell'ambiente di produzione. Per ulteriori informazioni sul test delle policy IAM, consulta Testare le policy IAM con il simulatore di policy IAM nella IAM User Guide.

Argomenti

Esempio 1: consenti a un utente di visualizzare IAM Identity Center
Esempio 2: consenti a un utente di gestire le autorizzazioni di Account AWS IAM Identity Center
Esempio 3: consentire a un utente di gestire le applicazioni in IAM Identity Center
Esempio 4: consentire a un utente di gestire utenti e gruppi nella directory dell'Identity Center

Esempio 1: consenti a un utente di visualizzare IAM Identity Center

La seguente politica di autorizzazione concede autorizzazioni di sola lettura a un utente in modo che possa visualizzare tutte le impostazioni e le informazioni sulla directory configurate in IAM Identity Center.

Nota

Questa policy viene fornita solo a scopo esemplificativo. In un ambiente di produzione, ti consigliamo di utilizzare la policy ViewOnlyAccess AWS gestita per IAM Identity Center.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ds:DescribeDirectories",
                "ds:DescribeTrusts",
                "iam:ListPolicies",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListParents",
                "organizations:ListChildren",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListOrganizationalUnitsForParent",
                "sso:ListManagedPoliciesInPermissionSet",
                "sso:ListPermissionSetsProvisionedToAccount",
                "sso:ListAccountAssignments",
                "sso:ListAccountsForProvisionedPermissionSet",
                "sso:ListPermissionSets",
                "sso:DescribePermissionSet",
                "sso:GetInlinePolicyForPermissionSet",
                "sso-directory:DescribeDirectory",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups"
            ],
            "Resource": "*"
        }
    ]
}

Esempio 2: consenti a un utente di gestire le autorizzazioni di Account AWS IAM Identity Center

La seguente politica di autorizzazioni concede le autorizzazioni necessarie per consentire a un utente di creare, gestire e distribuire set di autorizzazioni per: Account AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:AttachManagedPolicyToPermissionSet",
                "sso:CreateAccountAssignment",
                "sso:CreatePermissionSet",
                "sso:DeleteAccountAssignment",
                "sso:DeleteInlinePolicyFromPermissionSet",
                "sso:DeletePermissionSet",
                "sso:DetachManagedPolicyFromPermissionSet",
                "sso:ProvisionPermissionSet",
                "sso:PutInlinePolicyToPermissionSet",
                "sso:UpdatePermissionSet"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IAMListPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AccessToSSOProvisionedRoles",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRole",
                "iam:ListAttachedRolePolicies",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:UpdateRole",
                "iam:UpdateRoleDescription"
            ],
            "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetSAMLProvider"
            ],
            "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE"
        }
    ]
}

Nota

Le autorizzazioni aggiuntive elencate "Sid": "AccessToSSOProvisionedRoles" nelle sezioni e sono necessarie solo per consentire all'utente di creare assegnazioni nell'account di gestione. "Sid": "IAMListPermissions" AWS Organizations In alcuni casi, potrebbe essere necessario aggiungere anche iam:UpdateSAMLProvider a queste sezioni.

Esempio 3: consentire a un utente di gestire le applicazioni in IAM Identity Center

La seguente politica di autorizzazioni concede le autorizzazioni per consentire a un utente di visualizzare e configurare le applicazioni in IAM Identity Center, incluse le applicazioni SaaS preintegrate dal catalogo IAM Identity Center.

Nota

L'sso:AssociateProfileoperazione utilizzata nel seguente esempio di policy è necessaria per la gestione delle assegnazioni di utenti e gruppi alle applicazioni. Consente inoltre a un utente di assegnare utenti e gruppi Account AWS utilizzando i set di autorizzazioni esistenti. Se un utente deve gestire l' Account AWS accesso all'interno di IAM Identity Center e richiede le autorizzazioni necessarie per gestire i set di autorizzazioni, consulta. Esempio 2: consenti a un utente di gestire le autorizzazioni di Account AWS IAM Identity Center

A ottobre 2020, molte di queste operazioni sono disponibili solo tramite la AWS console. Questo criterio di esempio include azioni di «lettura» come list, get e search, che in questo caso sono rilevanti per il funzionamento senza errori della console.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:AssociateProfile",
                "sso:CreateApplicationInstance",
                "sso:ImportApplicationInstanceServiceProviderMetadata",
                "sso:DeleteApplicationInstance",
                "sso:DeleteProfile",
                "sso:DisassociateProfile",
                "sso:GetApplicationTemplate",
                "sso:UpdateApplicationInstanceServiceProviderConfiguration",
                "sso:UpdateApplicationInstanceDisplayData",
                "sso:DeleteManagedApplicationInstance",
                "sso:UpdateApplicationInstanceStatus",
                "sso:GetManagedApplicationInstance",
                "sso:UpdateManagedApplicationInstanceStatus",
                "sso:CreateManagedApplicationInstance",
                "sso:UpdateApplicationInstanceSecurityConfiguration",
                "sso:UpdateApplicationInstanceResponseConfiguration",
                "sso:GetApplicationInstance",
                "sso:CreateApplicationInstanceCertificate",
                "sso:UpdateApplicationInstanceResponseSchemaConfiguration",
                "sso:UpdateApplicationInstanceActiveCertificate",
                "sso:DeleteApplicationInstanceCertificate",
                "sso:ListApplicationInstanceCertificates",
                "sso:ListApplicationTemplates",
                "sso:ListApplications",
                "sso:ListApplicationInstances",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso:ListProfileAssociations",
                "sso:ListInstances",
                "sso:GetProfile",
                "sso:GetSSOStatus",
                "sso:GetSsoConfiguration",
                "sso-directory:DescribeDirectory",
                "sso-directory:DescribeUsers",
                "sso-directory:ListMembersInGroup",
                "sso-directory:SearchGroups",
                "sso-directory:SearchUsers"
            ],
            "Resource": "*"
        }
    ]
}

Esempio 4: consentire a un utente di gestire utenti e gruppi nella directory dell'Identity Center

La seguente politica di autorizzazione concede le autorizzazioni per consentire a un utente di creare, visualizzare, modificare ed eliminare utenti e gruppi in IAM Identity Center.

In alcuni casi, le modifiche dirette a utenti e gruppi in IAM Identity Center sono limitate. Ad esempio, quando Active Directory o un provider di identità esterno con il provisioning automatico abilitato viene selezionato come origine dell'identità.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso-directory:ListGroupsForUser",
                "sso-directory:DisableUser",
                "sso-directory:EnableUser",
                "sso-directory:SearchGroups",
                "sso-directory:DeleteGroup",
                "sso-directory:AddMemberToGroup",
                "sso-directory:DescribeDirectory",
                "sso-directory:UpdateUser",
                "sso-directory:ListMembersInGroup",
                "sso-directory:CreateUser",
                "sso-directory:DescribeGroups",
                "sso-directory:SearchUsers",
                "sso:ListDirectoryAssociations",
                "sso-directory:RemoveMemberFromGroup",
                "sso-directory:DeleteUser",
                "sso-directory:DescribeUsers",
                "sso-directory:UpdateGroup",
                "sso-directory:CreateGroup"
            ],
            "Resource": "*"
        }
    ]
}

Autorizzazioni necessarie per utilizzare la console IAM Identity Center

Affinché un utente possa lavorare con la console IAM Identity Center senza errori, sono necessarie autorizzazioni aggiuntive. Se è stata creata una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con quella policy. L'esempio seguente elenca il set di autorizzazioni che potrebbero essere necessarie per garantire un funzionamento senza errori all'interno della console IAM Identity Center.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:DescribeAccountAssignmentCreationStatus",
                "sso:DescribeAccountAssignmentDeletionStatus",
                "sso:DescribePermissionSet",
                "sso:DescribePermissionSetProvisioningStatus",
                "sso:DescribePermissionsPolicies",
                "sso:DescribeRegisteredRegions",
                "sso:GetApplicationInstance",
                "sso:GetApplicationTemplate",
                "sso:GetInlinePolicyForPermissionSet",
                "sso:GetManagedApplicationInstance",
                "sso:GetMfaDeviceManagementForDirectory",
                "sso:GetPermissionSet",
                "sso:GetPermissionsPolicy",
                "sso:GetProfile",
                "sso:GetSharedSsoConfiguration",
                "sso:GetSsoConfiguration",
                "sso:GetSSOStatus",
                "sso:GetTrust",
                "sso:ListAccountAssignmentCreationStatus",
                "sso:ListAccountAssignmentDeletionStatus",
                "sso:ListAccountAssignments",
                "sso:ListAccountsForProvisionedPermissionSet",
                "sso:ListApplicationInstanceCertificates",
                "sso:ListApplicationInstances",
                "sso:ListApplications",
                "sso:ListApplicationTemplates",
                "sso:ListDirectoryAssociations",
                "sso:ListInstances",
                "sso:ListManagedPoliciesInPermissionSet",
                "sso:ListPermissionSetProvisioningStatus",
                "sso:ListPermissionSets",
                "sso:ListPermissionSetsProvisionedToAccount",
                "sso:ListProfileAssociations",
                "sso:ListProfiles",
                "sso:ListTagsForResource",
                "sso-directory:DescribeDirectory",
                "sso-directory:DescribeGroups",
                "sso-directory:DescribeUsers",
                "sso-directory:ListGroupsForUser",
                "sso-directory:ListMembersInGroup",
                "sso-directory:SearchGroups",
                "sso-directory:SearchUsers"
            ],
            "Resource": "*"
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Panoramica sulla gestione degli accessi

AWS politiche gestite