기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Identity Center에 대한 IAM 자격 증명 기반 정책 예제
이 주제에서는 IAM Identity Center를 관리할 수 있는 권한을 사용자 및 역할에 부여하기 위해 생성할 수 있는 IAM 정책의 예를 제공합니다.
중요
먼저 IAM Identity Center 리소스에 대한 액세스를 관리하는 데 사용할 수 있는 기본 개념과 옵션을 설명하는 소개 주제를 검토하는 것이 좋습니다. 자세한 내용은 IAM Identity Center 리소스에 대한 액세스 권한 관리 개요 단원을 참조하십시오.
이 주제의 섹션에서는 다음 내용을 학습합니다.
사용자 지정 정책 예
이 섹션에서는 사용자 지정 IAM 정책이 필요한 일반적인 사용 사례의 예를 제공합니다. 이러한 예제 정책은 주요 요소를 지정하지 않는 자격 증명 기반 정책입니다. 자격 증명 기반 정책에서는 권한을 가질 보안 주체를 지정하지 않기 때문입니다. 대신 정책을 보안 주체에 연결합니다. 자격 증명 기반 권한 정책을 IAM 역할에 연결하면 역할의 신뢰 정책에 식별된 보안 주체가 권한을 얻습니다. 에서 자격 증명 기반 정책을 생성하고 사용자, 그룹 및/또는 역할에 IAM 연결할 수 있습니다. IAM Identity Center에서 권한 세트를 생성할 때 IAM Identity Center 사용자에게 이러한 정책을 적용할 수도 있습니다.
참고
환경에 맞는 정책을 만들 때 이러한 예를 사용하고 프로덕션 환경에 정책을 배포하기 전에 긍정적(“액세스 허용”) 및 부정적(“액세스 거부”) 테스트 사례를 모두 테스트해야 합니다. IAM 정책 테스트에 대한 자세한 내용은 IAM 사용 설명서의 IAM 정책 시뮬레이터를 사용한 IAM 정책 테스트를 참조하세요.
주제
예제 1: 사용자가 IAM Identity Center를 볼 수 있도록 허용
다음 권한 정책은 IAM Identity Center에 구성된 모든 설정 및 디렉터리 정보를 볼 수 있도록 사용자에게 읽기 전용 권한을 부여합니다.
참고
이 정책은 예시용으로만 제공됩니다. 프로덕션 환경에서는 IAM Identity Center에 대한 ViewOnlyAccess
AWS 관리형 정책을 사용하는 것이 좋습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "ds:DescribeTrusts", "iam:ListPolicies", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListPermissionSets", "sso:DescribePermissionSet", "sso:GetInlinePolicyForPermissionSet", "sso-directory:DescribeDirectory", "sso-directory:SearchUsers", "sso-directory:SearchGroups" ], "Resource": "*" } ] }
예제 2: 사용자가 IAM Identity Center AWS 계정 에서에 대한 권한을 관리하도록 허용
다음 권한 정책은 사용자가 AWS 계정의 권한 세트를 생성, 관리 및 배포하도록 허용하는 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AttachManagedPolicyToPermissionSet", "sso:CreateAccountAssignment", "sso:CreatePermissionSet", "sso:DeleteAccountAssignment", "sso:DeleteInlinePolicyFromPermissionSet", "sso:DeletePermissionSet", "sso:DetachManagedPolicyFromPermissionSet", "sso:ProvisionPermissionSet", "sso:PutInlinePolicyToPermissionSet", "sso:UpdatePermissionSet" ], "Resource": "*" }, { "Sid": "IAMListPermissions", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "AccessToSSOProvisionedRoles", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" }, { "Effect": "Allow", "Action": [ "iam:GetSAMLProvider" ], "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE" } ] }
참고
"Sid": "IAMListPermissions"
, 및 "Sid": "AccessToSSOProvisionedRoles"
섹션에 나열된 추가 권한은 사용자가 AWS Organizations 관리 계정에서 할당을 생성할 수 있도록 하기 위해서만 필요합니다. 경우에 따라 이 섹션에 iam:UpdateSAMLProvider
을 추가해야 할 수도 있습니다.
예제 3: 사용자가 IAM Identity Center에서 애플리케이션을 관리하도록 허용
다음 권한 정책은 사용자가 IAM Identity Center 카탈로그 내에서 미리 통합된 SaaS 애플리케이션을 포함하여 IAM Identity Center에서 애플리케이션을 보고 구성할 수 있는 권한을 부여합니다.
참고
다음 정책 예제에서 사용되는 sso:AssociateProfile
작업은 애플리케이션에 대한 사용자 및 그룹 할당을 관리하는 데 필요합니다. 또한 사용자는 기존 권한 세트를 사용하여 AWS 계정 에 사용자 및 그룹을 할당할 수 있습니다. 사용자가 IAM Identity Center 내에서 AWS 계정 액세스를 관리해야 하고 권한 세트를 관리하는 데 필요한 권한이 필요한 경우 섹션을 참조하세요예제 2: 사용자가 IAM Identity Center AWS 계정 에서에 대한 권한을 관리하도록 허용.
2020년 10월 기준, 이러한 작업 중 상당수는 AWS 콘솔을 통해서만 사용할 수 있습니다. 이 예제 정책에는 이러한 경우에 대해 콘솔의 오류 없는 작동과 관련된 목록, 가져오기, 검색과 같은 “읽기” 작업이 포함되어 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:ImportApplicationInstanceServiceProviderMetadata", "sso:DeleteApplicationInstance", "sso:DeleteProfile", "sso:DisassociateProfile", "sso:GetApplicationTemplate", "sso:UpdateApplicationInstanceServiceProviderConfiguration", "sso:UpdateApplicationInstanceDisplayData", "sso:DeleteManagedApplicationInstance", "sso:UpdateApplicationInstanceStatus", "sso:GetManagedApplicationInstance", "sso:UpdateManagedApplicationInstanceStatus", "sso:CreateManagedApplicationInstance", "sso:UpdateApplicationInstanceSecurityConfiguration", "sso:UpdateApplicationInstanceResponseConfiguration", "sso:GetApplicationInstance", "sso:CreateApplicationInstanceCertificate", "sso:UpdateApplicationInstanceResponseSchemaConfiguration", "sso:UpdateApplicationInstanceActiveCertificate", "sso:DeleteApplicationInstanceCertificate", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationTemplates", "sso:ListApplications", "sso:ListApplicationInstances", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso:ListProfileAssociations", "sso:ListInstances", "sso:GetProfile", "sso:GetSSOStatus", "sso:GetSsoConfiguration", "sso-directory:DescribeDirectory", "sso-directory:DescribeUsers", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
예 4: 사용자가 Identity Center 디렉터리의 사용자 및 그룹을 관리하도록 허용
다음 권한 정책은 사용자가 IAM Identity Center에서 사용자 및 그룹을 생성, 보기, 수정 및 삭제할 수 있는 권한을 부여합니다.
경우에 따라 IAM Identity Center의 사용자 및 그룹에 대한 직접 수정이 제한됩니다. Active Directory 또는 Automatic Provisioning이 활성화된 외부 ID 제공업체를 ID 소스로 선택한 경우를 예로 들 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:DisableUser", "sso-directory:EnableUser", "sso-directory:SearchGroups", "sso-directory:DeleteGroup", "sso-directory:AddMemberToGroup", "sso-directory:DescribeDirectory", "sso-directory:UpdateUser", "sso-directory:ListMembersInGroup", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:SearchUsers", "sso:ListDirectoryAssociations", "sso-directory:RemoveMemberFromGroup", "sso-directory:DeleteUser", "sso-directory:DescribeUsers", "sso-directory:UpdateGroup", "sso-directory:CreateGroup" ], "Resource": "*" } ] }
IAM Identity Center 콘솔을 사용하는 데 필요한 권한
사용자가 오류 없이 IAM Identity Center 콘솔을 사용하려면 추가 권한이 필요합니다. 최소 필수 권한보다 더 제한적인 IAM 정책이 생성된 경우 콘솔은 해당 정책이 있는 사용자에게 의도한 대로 작동하지 않습니다. 다음 예제에서는 IAM Identity Center 콘솔 내에서 오류 없는 작업을 보장하는 데 필요할 수 있는 권한 세트를 나열합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:DescribeAccountAssignmentCreationStatus", "sso:DescribeAccountAssignmentDeletionStatus", "sso:DescribePermissionSet", "sso:DescribePermissionSetProvisioningStatus", "sso:DescribePermissionsPolicies", "sso:DescribeRegisteredRegions", "sso:GetApplicationInstance", "sso:GetApplicationTemplate", "sso:GetInlinePolicyForPermissionSet", "sso:GetManagedApplicationInstance", "sso:GetMfaDeviceManagementForDirectory", "sso:GetPermissionSet", "sso:GetPermissionsPolicy", "sso:GetProfile", "sso:GetSharedSsoConfiguration", "sso:GetSsoConfiguration", "sso:GetSSOStatus", "sso:GetTrust", "sso:ListAccountAssignmentCreationStatus", "sso:ListAccountAssignmentDeletionStatus", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationInstances", "sso:ListApplications", "sso:ListApplicationTemplates", "sso:ListDirectoryAssociations", "sso:ListInstances", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetProvisioningStatus", "sso:ListPermissionSets", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListProfileAssociations", "sso:ListProfiles", "sso:ListTagsForResource", "sso-directory:DescribeDirectory", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso-directory:ListGroupsForUser", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }