Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi per Identity Center IAM
AWS IAM Identity Center utilizza AWS Identity and Access Management (IAM) ruoli collegati al servizio. Un ruolo collegato al servizio è un tipo di IAM ruolo unico collegato direttamente a Identity Center. IAM È predefinito da IAM Identity Center e include tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per conto dell'utente. Per ulteriori informazioni, consulta Comprensione dei ruoli collegati ai servizi in Identity Center IAM.
Un ruolo collegato al servizio semplifica la configurazione di IAM Identity Center perché non è necessario aggiungere manualmente le autorizzazioni necessarie. IAMIdentity Center definisce le autorizzazioni del suo ruolo collegato al servizio e, se non diversamente definito, solo IAM Identity Center può assumerne il ruolo. Le autorizzazioni definite includono la politica di fiducia e la politica delle autorizzazioni e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM
Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, vedi AWS Servizi che funzionano con IAM e cerca i servizi con Sì nella colonna Ruolo collegato ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Autorizzazioni di ruolo collegate ai servizi per Identity Center IAM
IAMIdentity Center utilizza il ruolo collegato al servizio denominato AWSServiceRoleForSSOper concedere le autorizzazioni di IAM Identity Center per gestire AWS le risorse, inclusi IAM ruoli, policy e IdP SAML per tuo conto.
Il ruolo AWSServiceRoleForSSO collegato al servizio prevede che i seguenti servizi assumano il ruolo:
-
IAMIdentity Center (prefisso del servizio:)
sso
La politica di autorizzazione dei ruoli AWSServiceRoleForSSO collegati ai servizi consente a IAM Identity Center di completare quanto segue sui ruoli nel percorso «/aws-reserved/sso.amazonaws.com/» e con il prefisso «_»: AWSReservedSSO
-
iam:AttachRolePolicy -
iam:CreateRole -
iam:DeleteRole -
iam:DeleteRolePermissionsBoundary -
iam:DeleteRolePolicy -
iam:DetachRolePolicy -
iam:GetRole -
iam:ListRolePolicies -
iam:PutRolePolicy -
iam:PutRolePermissionsBoundary -
iam:ListAttachedRolePolicies
La politica di autorizzazione dei ruoli AWSServiceRoleForSSO collegati ai servizi consente a Identity Center di completare quanto segue sui provider con il prefisso «_»: IAM SAML AWSSSO
-
iam:CreateSAMLProvider -
iam:GetSAMLProvider -
iam:UpdateSAMLProvider -
iam:DeleteSAMLProvider
La politica di autorizzazione dei ruoli AWSServiceRoleForSSO collegati al servizio consente a IAM Identity Center di completare quanto segue per tutte le organizzazioni:
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
La politica AWSServiceRoleForSSO di autorizzazione dei ruoli collegati al servizio consente a IAM Identity Center di completare quanto segue su tutti i ruoli (*): IAM
-
iam:listRoles
La politica di autorizzazione dei ruoli AWSServiceRoleForSSO collegati al servizio consente a IAM Identity Center di completare quanto segue su «arn:aws:iam: :*:»: role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO
-
iam:GetServiceLinkedRoleDeletionStatus -
iam:DeleteServiceLinkedRole
La politica di autorizzazione dei ruoli consente a IAM Identity Center di completare le seguenti azioni sulle risorse.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }
È necessario configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta Autorizzazioni dei ruoli collegati ai servizi nella Guida per l'utente. IAM
Creazione di un ruolo collegato al servizio per Identity Center IAM
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Una volta abilitato, IAM Identity Center crea un ruolo collegato al servizio in tutti gli account all'interno dell'organizzazione in Organizations AWS . IAMIdentity Center crea inoltre lo stesso ruolo collegato al servizio in ogni account che viene successivamente aggiunto all'organizzazione. Questo ruolo consente a IAM Identity Center di accedere alle risorse di ciascun account per tuo conto.
Note
-
Se hai effettuato l'accesso all'account di AWS Organizations gestione, questo utilizza il ruolo attualmente connesso e non il ruolo collegato al servizio. Ciò impedisce l'aumento dei privilegi.
-
Quando IAM Identity Center esegue qualsiasi IAM operazione nell'account di AWS Organizations gestione, tutte le operazioni vengono eseguite utilizzando le credenziali del principale. IAM Ciò consente agli accessi di CloudTrail fornire la visibilità di chi ha apportato tutte le modifiche ai privilegi nell'account di gestione.
Importante
Se utilizzavi il servizio IAM Identity Center prima del 7 dicembre 2017, quando ha iniziato a supportare i ruoli collegati al servizio, IAM Identity Center ha creato il AWSServiceRoleForSSO ruolo nel tuo account. Per ulteriori informazioni, vedi Un nuovo ruolo è apparso nel mio IAM account.
Se elimini questo ruolo collegato ai servizi e devi crearlo di nuovo, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account.
Modifica di un ruolo collegato al servizio per Identity Center IAM
IAMIdentity Center non consente di modificare il ruolo collegato al AWSServiceRoleForSSO servizio. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. Tuttavia, è possibile modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'IAMutente.
Eliminazione di un ruolo collegato al servizio per Identity Center IAM
Non è necessario eliminare manualmente il ruolo. AWSServiceRoleForSSO Quando un Account AWS utente viene rimosso da un' AWS organizzazione, IAM Identity Center pulisce automaticamente le risorse ed elimina il ruolo collegato al servizio. Account AWS
È inoltre possibile utilizzare la IAM console, il o il IAM CLI per eliminare manualmente il ruolo IAM API collegato al servizio. Per farlo, sarà necessario prima eseguire manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi eliminarlo manualmente.
Nota
Se il servizio IAM Identity Center utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.
Per eliminare le risorse IAM dell'Identity Center utilizzate da AWSServiceRoleForSSO
-
Rimuovi l'accesso di utenti e gruppi a un Account AWSper tutti gli utenti e i gruppi che hanno accesso a Account AWS.
-
Eliminare i set di autorizzazioni in IAM Identity Centerche hai associato a Account AWS.
Per eliminare manualmente il ruolo collegato al servizio utilizzando IAM
Usa la IAM console IAMCLI, o il IAM API per eliminare il ruolo collegato al AWSServiceRoleForSSO servizio. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM
