AWSSSOMasterAccountAdministrator AWSSSOMemberAccountAdministrator AWSSSODirectoryAdministrator AWSSSOReadOnly AWSSSODirectoryReadOnly AWSIdentitySyncFullAccess AWSIdentitySyncReadOnlyAccess AWSSSOServiceRolePolicy AWSIAMIdentityCenterAllowListForIdentityContext IAMAggiornamenti delle policy AWS gestite da Identity Center

AWS politiche gestite per Identity Center IAM

Creare politiche gestite dai IAM clienti che forniscano al team solo le autorizzazioni necessarie richiede tempo ed esperienza. Per iniziare rapidamente, puoi utilizzare le politiche AWS gestite. Queste policy coprono i casi d'uso comuni e sono disponibili nel tuo Account AWS. Per ulteriori informazioni sulle politiche AWS gestite, consulta le politiche AWS gestite nella Guida IAM per l'utente.

AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.

Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccess AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per un elenco e le descrizioni delle politiche relative alle funzioni lavorative, consulta le politiche AWS gestite per le funzioni lavorative nella Guida per l'utente. IAM

Nel nuovo spazio dei nomi identitystore-auth sono disponibili nuove azioni che consentono di elencare ed eliminare le sessioni utente. Eventuali autorizzazioni aggiuntive per le azioni in questo namespace verranno aggiornate in questa pagina. Quando crei le tue IAM politiche personalizzate, evita di usare * after identitystore-auth perché questo vale per tutte le azioni che esistono nel namespace oggi o in futuro.

AWS politica gestita: AWSSSOMasterAccountAdministrator

La AWSSSOMasterAccountAdministrator politica prevede le azioni amministrative necessarie ai committenti. La politica è destinata ai dirigenti che svolgono il ruolo di amministratore AWS IAM Identity Center . Nel tempo, l'elenco delle azioni fornite verrà aggiornato in base alle funzionalità esistenti di IAM Identity Center e alle azioni richieste come amministratore.

Puoi allegare la AWSSSOMasterAccountAdministrator policy alle tue IAM identità. Quando si allega la AWSSSOMasterAccountAdministrator politica a un'identità, si concedono AWS IAM Identity Center autorizzazioni amministrative. I responsabili con questa politica possono accedere a IAM Identity Center dall'account di AWS Organizations gestione e da tutti gli account dei membri. Questo responsabile può gestire completamente tutte le operazioni di IAM Identity Center, inclusa la possibilità di creare un'istanza di IAM Identity Center, gli utenti, i set di autorizzazioni e le assegnazioni. Il responsabile può anche creare istanze di tali assegnazioni tra gli account dei membri dell' AWS organizzazione e stabilire connessioni tra le directory AWS Directory Service gestite e Identity Center. IAM Man mano che verranno rilasciate nuove funzionalità amministrative, all'amministratore dell'account verranno concesse automaticamente queste autorizzazioni.

Raggruppamenti di autorizzazioni

Questa policy è raggruppata in istruzioni in base al set di autorizzazioni fornite.

AWSSSOMasterAccountAdministrator— Consente a IAM Identity Center di passare il ruolo di servizio denominato AWSServiceRoleforSSO a IAM Identity Center in modo che possa successivamente assumere il ruolo ed eseguire azioni per suo conto. Ciò è necessario quando la persona o l'applicazione tenta di abilitare IAM Identity Center. Per ulteriori informazioni, consulta Account AWS accesso.
AWSSSOMemberAccountAdministrator— Consente a IAM Identity Center di eseguire azioni di amministratore dell'account in un AWS ambiente con più account. Per ulteriori informazioni, consulta AWS politica gestita: AWSSSOMemberAccountAdministrator.
AWSSSOManageDelegatedAdministrator— Consente a IAM Identity Center di registrare e annullare la registrazione di un amministratore delegato dell'organizzazione.

Per visualizzare le autorizzazioni per questa politica, vedere Managed Policy Reference AWSSSOMasterAccountAdministrator.AWS

Informazioni aggiuntive su questa politica

Quando IAM Identity Center viene abilitato per la prima volta, il servizio IAM Identity Center crea un ruolo collegato al servizio nell'account di AWS Organizations gestione (in precedenza account principale) in modo che IAM Identity Center possa gestire le risorse dell'account. Le azioni richieste sono iam:CreateServiceLinkedRole eiam:PassRole, mostrate nei seguenti frammenti.


{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "AWSSSOCreateSLR",
      "Effect" : "Allow",
      "Action" : "iam:CreateServiceLinkedRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:AWSServiceName" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMasterAccountAdministrator",
      "Effect" : "Allow",
      "Action" : "iam:PassRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:PassedToService" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMemberAccountAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "ds:DescribeTrusts",
        "ds:UnauthorizeApplication",
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "iam:ListPolicies",
        "organizations:EnableAWSServiceAccess",
        "organizations:ListRoots",
        "organizations:ListAccounts",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListAccountsForParent",
        "organizations:DescribeOrganization",
        "organizations:ListChildren",
        "organizations:DescribeAccount",
        "organizations:ListParents",
        "organizations:ListDelegatedAdministrators",
        "sso:*",
        "sso-directory:*",
        "identitystore:*",
        "identitystore-auth:*",
        "ds:CreateAlias",
        "access-analyzer:ValidatePolicy",
        "signin:CreateTrustedIdentityPropagationApplicationForConsole",
        "signin:ListTrustedIdentityPropagationApplicationsForConsole"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "AWSSSOManageDelegatedAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "organizations:ServicePrincipal" : "sso.amazonaws.com"
        }
      }
      },
      {
         "Sid": "AllowDeleteSyncProfile",
         "Effect": "Allow",
         "Action": [
                  "identity-sync:DeleteSyncProfile"
         ],
         "Resource": [
                  "arn:aws:identity-sync:*:*:profile/*"
         ]
    }
  ]
}

AWS politica gestita: AWSSSOMemberAccountAdministrator

La AWSSSOMemberAccountAdministrator politica prevede le azioni amministrative necessarie ai committenti. La politica è destinata ai dirigenti che svolgono il ruolo di amministratore di IAM Identity Center. Nel tempo, l'elenco delle azioni fornite verrà aggiornato in base alle funzionalità esistenti di IAM Identity Center e alle azioni richieste in qualità di amministratore.

Puoi allegare la AWSSSOMemberAccountAdministrator policy alle tue IAM identità. Quando si allega la AWSSSOMemberAccountAdministrator politica a un'identità, si concedono AWS IAM Identity Center autorizzazioni amministrative. I responsabili con questa politica possono accedere a IAM Identity Center dall'account di AWS Organizations gestione e da tutti gli account dei membri. Questo responsabile può gestire completamente tutte le operazioni IAM dell'Identity Center, inclusa la possibilità di creare utenti, set di autorizzazioni e assegnazioni. Il responsabile può anche creare istanze di tali assegnazioni tra gli account dei membri dell' AWS organizzazione e stabilire connessioni tra le directory AWS Directory Service gestite e Identity Center. IAM Man mano che vengono rilasciate nuove funzionalità amministrative, all'amministratore dell'account vengono concesse automaticamente queste autorizzazioni.

Per visualizzare le autorizzazioni relative a questa politica, consulta AWS Managed Policy AWSSSOMemberAccountAdministratorReference.

Informazioni aggiuntive su questa politica

IAMGli amministratori di Identity Center gestiscono utenti, gruppi e password nell'archivio delle directory di Identity Center (sso-directory). Il ruolo di amministratore dell'account include le autorizzazioni per le seguenti azioni:

"sso:*"
"sso-directory:*"

IAMGli amministratori di Identity Center necessitano di autorizzazioni limitate per le seguenti AWS Directory Service azioni per eseguire le attività quotidiane.

"ds:DescribeTrusts"
"ds:UnauthorizeApplication"
"ds:DescribeDirectories"
"ds:AuthorizeApplication"
“ds:CreateAlias”

Queste autorizzazioni consentono agli amministratori di IAM Identity Center di identificare le directory esistenti e gestire le applicazioni in modo che possano essere configurate per l'uso con Identity Center. IAM Per ulteriori informazioni su ciascuna di queste azioni, vedere AWS Directory Service APIAutorizzazioni: riferimento alle azioni, alle risorse e alle condizioni.

IAMIdentity Center utilizza IAM le policy per concedere le autorizzazioni agli utenti di IAM Identity Center. IAMGli amministratori di Identity Center creano set di autorizzazioni e ad essi allegano policy. L'amministratore IAM dell'Identity Center deve disporre delle autorizzazioni per elencare le politiche esistenti in modo da poter scegliere quali criteri utilizzare con il set di autorizzazioni che sta creando o aggiornando. Per impostare autorizzazioni sicure e funzionali, l'amministratore di IAM Identity Center deve disporre delle autorizzazioni per eseguire la convalida delle policy di IAM Access Analyzer.

"iam:ListPolicies"
"access-analyzer:ValidatePolicy"

IAMGli amministratori di Identity Center necessitano di un accesso limitato alle seguenti AWS Organizations azioni per eseguire le attività quotidiane:

"organizations:EnableAWSServiceAccess"
"organizations:ListRoots"
"organizations:ListAccounts"
"organizations:ListOrganizationalUnitsForParent"
"organizations:ListAccountsForParent"
"organizations:DescribeOrganization"
"organizations:ListChildren"
"organizations:DescribeAccount"
"organizations:ListParents"
"organizations:ListDelegatedAdministrators"
"organizations:RegisterDelegatedAdministrator"
"organizations:DeregisterDelegatedAdministrator"

Queste autorizzazioni consentono agli amministratori di IAM Identity Center di utilizzare le risorse dell'organizzazione (account) per attività amministrative di base di IAM Identity Center come le seguenti:

Identificazione dell'account di gestione che appartiene all'organizzazione
Identificazione degli account dei membri che appartengono all'organizzazione
Abilitazione dell'accesso al AWS servizio per gli account
Configurazione e gestione di un amministratore delegato

Per ulteriori informazioni sull'utilizzo di un amministratore delegato con IAM Identity Center, vedere. Amministrazione delegata Per ulteriori informazioni su come vengono utilizzate queste autorizzazioni AWS Organizations, vedere Utilizzo AWS Organizations con altri AWS servizi.

AWS politica gestita: AWSSSODirectoryAdministrator

Puoi allegare la AWSSSODirectoryAdministrator politica alle tue IAM identità.

Questa politica concede autorizzazioni amministrative per gli utenti e i gruppi di IAM Identity Center. I responsabili a cui è allegato questo criterio possono apportare qualsiasi aggiornamento agli utenti e ai gruppi di IAM Identity Center.

Per visualizzare le autorizzazioni relative a questa politica, consulta AWS Managed Policy AWSSSODirectoryAdministratorReference.

AWS politica gestita: AWSSSOReadOnly

Puoi allegare la AWSSSOReadOnly politica alle tue IAM identità.

Questa politica concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni in Identity Center. IAM I responsabili a cui è associata questa politica non possono visualizzare direttamente gli utenti o i gruppi dell'IAMIdentity Center. I responsabili a cui è allegata questa politica non possono effettuare aggiornamenti in IAM Identity Center. Ad esempio, i responsabili con queste autorizzazioni possono visualizzare le impostazioni di IAM Identity Center, ma non possono modificare alcun valore delle impostazioni.

Per visualizzare le autorizzazioni per questa politica, vedere AWS Managed Policy AWSSSOReadOnlyReference.

AWS politica gestita: AWSSSODirectoryReadOnly

Puoi allegare la AWSSSODirectoryReadOnly politica alle tue IAM identità.

Questa politica concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare utenti e gruppi in Identity Center. IAM I responsabili a cui è allegato questo criterio non possono visualizzare le assegnazioni, i set di autorizzazioni, le applicazioni o le impostazioni dell'IAMIdentity Center. I responsabili a cui è allegata questa politica non possono effettuare aggiornamenti in IAM Identity Center. Ad esempio, i responsabili con queste autorizzazioni possono visualizzare gli utenti di IAM Identity Center, ma non possono modificare gli attributi utente o assegnare dispositivi. MFA

Per visualizzare le autorizzazioni per questa politica, consulta Managed Policy Reference AWSSSODirectoryReadOnly.AWS

AWS politica gestita: AWSIdentitySyncFullAccess

Puoi allegare la AWSIdentitySyncFullAccess politica alle tue IAM identità.

I responsabili a cui è allegato questo criterio dispongono delle autorizzazioni di accesso complete per creare ed eliminare profili di sincronizzazione, associare o aggiornare un profilo di sincronizzazione a una destinazione di sincronizzazione, creare, elencare ed eliminare filtri di sincronizzazione e avviare o interrompere la sincronizzazione.

Dettagli delle autorizzazioni

Per visualizzare le autorizzazioni relative a questa policy, consulta AWSIdentitySyncFullAccess AWSManaged Policy Reference.

AWS politica gestita: AWSIdentitySyncReadOnlyAccess

Puoi allegare la AWSIdentitySyncReadOnlyAccess politica alle tue IAM identità.

Questa politica concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare informazioni sul profilo di sincronizzazione delle identità, sui filtri e sulle impostazioni di destinazione. I responsabili a cui è allegato questo criterio non possono apportare aggiornamenti alle impostazioni di sincronizzazione. Ad esempio, i responsabili con queste autorizzazioni possono visualizzare le impostazioni di sincronizzazione delle identità, ma non possono modificare alcun valore del profilo o del filtro.

Per visualizzare le autorizzazioni per questa politica, consulta Managed Policy Reference AWSIdentitySyncReadOnlyAccess.AWS

AWS politica gestita: AWSSSOServiceRolePolicy

Non puoi allegare la AWSSSOServiceRolePolicy politica alle tue IAM identità.

Questa policy è associata a un ruolo collegato al servizio che consente a IAM Identity Center di delegare e stabilire quali utenti dispongono dell'accesso Single Sign-On a specifici in. Account AWS AWS Organizations Quando si abilitaIAM, viene creato un ruolo collegato ai servizi in tutta l'organizzazione. Account AWS IAMIdentity Center crea inoltre lo stesso ruolo collegato al servizio in ogni account che viene successivamente aggiunto all'organizzazione. Questo ruolo consente a IAM Identity Center di accedere alle risorse di ciascun account per tuo conto. I ruoli collegati ai servizi che vengono creati in ciascuno di essi Account AWS sono denominati. AWSServiceRoleForSSO Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Identity Center IAM.

AWS politica gestita: AWSIAMIdentityCenterAllowListForIdentityContext

Quando si assume un ruolo nel contesto di IAM identità di Identity Center, AWS Security Token Service (AWS STS) associa automaticamente la AWSIAMIdentityCenterAllowListForIdentityContext policy al ruolo.

Questa politica fornisce l'elenco delle azioni consentite quando si utilizza la propagazione affidabile delle identità con ruoli assunti con il contesto di IAM identità di Identity Center. Tutte le altre azioni richiamate in questo contesto sono bloccate. Il contesto di identità viene passato comeProvidedContext.

Per visualizzare le autorizzazioni per questa politica, vedere AWSIAMIdentityCenterAllowListForIdentityContextin AWS Managed Policy Reference.

IAMAggiornamenti delle policy AWS gestite da Identity Center

La tabella seguente descrive gli aggiornamenti alle politiche AWS gestite per IAM Identity Center da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia dei documenti di IAM Identity Center.

Modifica	Descrizione	Data
AWSIAMIdentityCenterAllowListForIdentityContext	Questa politica ora include `qapps:ExportQAppSessionData` le azioni `qapps:ListQAppSessionData` e le azioni per supportare le sessioni di console con riconoscimento dell'identità per le applicazioni AWS gestite che supportano queste sessioni.	2 ottobre 2024
AWSSSOMasterAccountAdministrator	IAMIdentity Center ha aggiunto una nuova azione per concedere DeleteSyncProfile le autorizzazioni per consentire all'utente di utilizzare questo criterio per eliminare i profili di sincronizzazione. Questa azione è associata DeleteInstance API a.	26 settembre 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Questa politica ora include l'`s3:ListCallerAccessGrants`azione per supportare sessioni di console con riconoscimento dell'identità per le applicazioni AWS gestite che supportano queste sessioni.	4 settembre 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Questa politica ora include`aoss:APIAccessAll`,,, `es:ESHttpHead` `es:ESHttpPost` `es:ESHttpGet` `es:ESHttpPatches:ESHttpDelete`, e `es:ESHttpPut` le azioni per supportare le sessioni di console con riconoscimento dell'identità per le applicazioni AWS gestite che supportano queste sessioni.	12 luglio 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Questa politica ora include`qapps:PredictQApp`,,,`qapps:ImportDocument`,, `qapps:AssociateLibraryItemReview` `qapps:DisassociateLibraryItemReview` `qapps:GetQAppSession` `qapps:UpdateQAppSession` `qapps:GetQAppSessionMetadataqapps:UpdateQAppSessionMetadata`, e `qapps:TagResource` le azioni per supportare le sessioni di console con riconoscimento dell'identità per le applicazioni AWS gestite che supportano queste sessioni.	27 giugno 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Questa politica ora include`elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:DescribeCluster` `elasticmapreduce:CancelStepselasticmapreduce:DescribeStep`, e `elasticmapreduce:ListSteps` le azioni per supportare la propagazione affidabile delle identità in AmazonEMR.	17 maggio 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Questa politica ora include`qapps:CreateQApp`,,,`qapps:PredictProblemStatementFromConversation`,`qapps:PredictQAppFromProblemStatement`,`qapps:CopyQApp`,,`qapps:GetQApp`,`qapps:ListQApps`,`qapps:UpdateQApp`,`qapps:DeleteQApp`,`qapps:AssociateQAppWithUser`,`qapps:DisassociateQAppFromUser`,`qapps:ImportDocumentToQApp`,,`qapps:ImportDocumentToQAppSession`,`qapps:CreateLibraryItem`, `qapps:GetLibraryItem` `qapps:UpdateLibraryItem` `qapps:CreateLibraryItemReview` `qapps:ListLibraryItems` `qapps:CreateSubscriptionTokenqapps:StartQAppSession`, e `qapps:StopQAppSession` azioni per supportare le sessioni di console con riconoscimento dell'identità per le applicazioni AWS gestite che supportano queste sessioni.	30 aprile 2024
AWSSSOMasterAccountAdministrator	Questa politica ora include `signin:ListTrustedIdentityPropagationApplicationsForConsole` le azioni `signin:CreateTrustedIdentityPropagationApplicationForConsole` e le azioni per supportare le sessioni di console con riconoscimento dell'identità per le applicazioni AWS gestite che supportano queste sessioni.	26 aprile 2024
AWSSSOMemberAccountAdministrator	Questa politica ora include `signin:ListTrustedIdentityPropagationApplicationsForConsole` le azioni `signin:CreateTrustedIdentityPropagationApplicationForConsole` e le azioni per supportare le sessioni di console con riconoscimento dell'identità per le applicazioni AWS gestite che supportano queste sessioni.	26 aprile 2024
AWSSSOReadOnly	Questa politica ora include l'`signin:ListTrustedIdentityPropagationApplicationsForConsole`azione per supportare sessioni di console con riconoscimento dell'identità per le applicazioni AWS gestite che supportano queste sessioni.	26 aprile 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Questa politica ora include l'`qbusiness:PutFeedback`azione per supportare sessioni di console con riconoscimento dell'identità per le applicazioni AWS gestite che supportano queste sessioni.	26 aprile 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Questa politica ora include`q:StartConversation`,,,, `q:SendMessage` `q:ListConversations` `q:GetConversation` `q:StartTroubleshootingAnalysis` `q:GetTroubleshootingResultsq:StartTroubleshootingResolutionExplanation`, e `q:UpdateTroubleshootingCommandResult` le azioni per supportare le sessioni di console con riconoscimento dell'identità per le applicazioni AWS gestite che supportano queste sessioni.	24 aprile 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Questa politica ora include l'`sts:SetContext`azione per supportare sessioni di console con riconoscimento dell'identità per le applicazioni AWS gestite che supportano queste sessioni.	19 aprile 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Questa politica ora include`qbusiness:Chat`, `qbusiness:ChatSync` `qbusiness:ListConversationsqbusiness:ListMessages`, e `qbusiness:DeleteConversation` le azioni per supportare le sessioni di console con riconoscimento dell'identità per le applicazioni AWS gestite che supportano queste sessioni.	11 aprile 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Questa politica ora include le `s3:GetDataAccess` azioni `s3:GetAccessGrantsInstanceForPrefix` e.	26 novembre 2023
AWSIAMIdentityCenterAllowListForIdentityContext	Questa politica fornisce l'elenco delle azioni consentite quando si utilizza la propagazione delle identità attendibili con ruoli assunti con il contesto di IAM identità di Identity Center.	15 novembre 2023
AWSSSODirectoryReadOnly	Questa politica ora include il nuovo spazio dei nomi `identitystore-auth` con nuove autorizzazioni per consentire agli utenti di elencare e ottenere sessioni.	21 febbraio 2023
AWSSSOServiceRolePolicy	Questa politica ora consente di eseguire l'`UpdateSAMLProvider`azione sull'account di gestione.	20 ottobre 2022
AWSSSOMasterAccountAdministrator	Questa politica ora include il nuovo namespace `identitystore-auth` con nuove autorizzazioni per consentire all'amministratore di elencare ed eliminare le sessioni per un utente.	20 ottobre 2022
AWSSSOMemberAccountAdministrator	Questa politica ora include il nuovo spazio dei nomi `identitystore-auth` con nuove autorizzazioni per consentire all'amministratore di elencare ed eliminare le sessioni per un utente.	20 ottobre 2022
AWSSSODirectoryAdministrator	Questa politica ora include il nuovo spazio dei nomi `identitystore-auth` con nuove autorizzazioni per consentire all'amministratore di elencare ed eliminare le sessioni per un utente.	20 ottobre 2022
AWSSSOMasterAccountAdministrator	Questa politica ora include nuove autorizzazioni per le chiamate. `ListDelegatedAdministrators` AWS Organizations Questa politica ora include anche un sottoinsieme di autorizzazioni `AWSSSOManageDelegatedAdministrator` che include le autorizzazioni per chiamare e. `RegisterDelegatedAdministrator` `DeregisterDelegatedAdministrator`	16 agosto 2022
AWSSSOMemberAccountAdministrator	Questa politica ora include nuove autorizzazioni per chiamare. `ListDelegatedAdministrators` AWS Organizations Questa politica ora include anche un sottoinsieme di autorizzazioni `AWSSSOManageDelegatedAdministrator` che include le autorizzazioni per chiamare e. `RegisterDelegatedAdministrator` `DeregisterDelegatedAdministrator`	16 agosto 2022
AWSSSOReadOnly	Questa politica ora include nuove autorizzazioni per chiamare. `ListDelegatedAdministrators` AWS Organizations	11 agosto 2022
AWSSSOServiceRolePolicy	Questa politica ora include nuove autorizzazioni per chiamare `DeleteRolePermissionsBoundary` e. `PutRolePermisionsBoundary`	14 luglio 2022
AWSSSOServiceRolePolicy	Questa politica ora include nuove autorizzazioni che consentono di effettuare chiamate in `ListAWSServiceAccessForOrganization and ListDelegatedAdministrators` entrata. AWS Organizations	11 maggio 2022
AWSSSOMasterAccountAdministrator AWSSSOMemberAccountAdministrator AWSSSOReadOnly	Aggiungi le autorizzazioni di IAM Access Analyzer che consentono a un principale di utilizzare i controlli delle policy per la convalida.	28 aprile 2022
AWSSSOMasterAccountAdministrator	Questa politica ora consente tutte le azioni del servizio IAM Identity Center Identity Store. Per informazioni sulle azioni disponibili nel servizio IAM Identity Center Identity Store, consulta l'IAMIdentity Center Identity Store API Reference.	29 marzo 2022
AWSSSOMemberAccountAdministrator	Questa politica ora consente tutte le IAM azioni del servizio Identity Center Identity Store.	29 marzo 2022
AWSSSODirectoryAdministrator	Questa politica ora consente tutte le IAM azioni del servizio Identity Center Identity Store.	29 marzo 2022
AWSSSODirectoryReadOnly	Questa politica ora consente l'accesso alle azioni di lettura del IAM servizio Identity Center Identity Store. Questo accesso è necessario per recuperare le informazioni su utenti e gruppi dal servizio IAM Identity Center Identity Store.	29 marzo 2022
AWSIdentitySyncFullAccess	Questa politica consente l'accesso completo alle autorizzazioni di sincronizzazione delle identità.	3 marzo 2022
AWSIdentitySyncReadOnlyAccess	Questo criterio concede autorizzazioni di sola lettura che consentono a un principale di visualizzare le impostazioni di sincronizzazione dell'identità.	3 marzo 2022
AWSSSOReadOnly	Questo criterio concede autorizzazioni di sola lettura che consentono a un principale di visualizzare le impostazioni di configurazione di Identity Center. IAM	4 agosto 2021
IAMIdentity Center ha iniziato a tenere traccia delle modifiche	IAMIdentity Center ha iniziato a tenere traccia delle modifiche per le policy AWS gestite.	4 agosto 2021

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Politiche basate sull'identità (politiche) IAM

Uso di ruoli collegati ai servizi