기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Identity Center의 ID 기반 정책 예제 IAM
이 항목에서는 사용자와 역할에 IAM Identity Center를 관리할 권한을 부여하기 위해 생성할 수 있는 IAM 정책의 예를 제공합니다.
중요
IAMIdentity Center 리소스에 대한 액세스를 관리하는 데 사용할 수 있는 기본 개념과 옵션을 설명하는 소개 항목을 먼저 검토하는 것이 좋습니다. 자세한 내용은 IAMIdentity Center 리소스에 대한 액세스 권한 관리 개요 단원을 참조하십시오.
이 주제의 섹션에서는 다음 내용을 학습합니다.
사용자 지정 정책 예
이 섹션에서는 사용자 지정 IAM 정책이 필요한 일반적인 사용 사례의 예를 제공합니다. 이러한 예제 정책은 주요 요소를 지정하지 않는 자격 증명 기반 정책입니다. 자격 증명 기반 정책에서는 권한을 가질 보안 주체를 지정하지 않기 때문입니다. 대신 정책을 보안 주체에 연결합니다. ID 기반 권한 정책을 IAM 역할에 연결하면 역할의 신뢰 정책에서 식별된 보안 주체가 권한을 얻습니다. 에서 IAM ID 기반 정책을 생성하여 사용자, 그룹 및/또는 역할에 연결할 수 있습니다. Identity Center에서 IAM 권한 집합을 생성할 때 IAM Identity Center 사용자에게 이러한 정책을 적용할 수도 있습니다.
참고
환경에 맞는 정책을 만들 때 이러한 예를 사용하고 프로덕션 환경에 정책을 배포하기 전에 긍정적(“액세스 허용”) 및 부정적(“액세스 거부”) 테스트 사례를 모두 테스트해야 합니다. IAM정책 테스트에 대한 자세한 내용은 IAM사용 설명서의 IAM 정책 시뮬레이터를 사용한 정책 테스트를 IAM 참조하십시오.
주제
예 1: 사용자가 IAM Identity Center를 볼 수 있도록 허용
다음 권한 정책은 사용자에게 IAM Identity Center에 구성된 모든 설정과 디렉터리 정보를 볼 수 있도록 읽기 전용 권한을 부여합니다.
참고
이 정책은 예시용으로만 제공됩니다. 프로덕션 환경에서는 IAM Identity Center의 ViewOnlyAccess AWS 관리형 정책을 사용하는 것이 좋습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "ds:DescribeTrusts", "iam:ListPolicies", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListPermissionSets", "sso:DescribePermissionSet", "sso:GetInlinePolicyForPermissionSet", "sso-directory:DescribeDirectory", "sso-directory:SearchUsers", "sso-directory:SearchGroups" ], "Resource": "*" } ] }
예 2: 사용자가 IAM Identity AWS 계정 Center에서 권한을 관리하도록 허용
다음 권한 정책은 사용자가 AWS 계정의 권한 세트를 생성, 관리 및 배포하도록 허용하는 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AttachManagedPolicyToPermissionSet", "sso:CreateAccountAssignment", "sso:CreatePermissionSet", "sso:DeleteAccountAssignment", "sso:DeleteInlinePolicyFromPermissionSet", "sso:DeletePermissionSet", "sso:DetachManagedPolicyFromPermissionSet", "sso:ProvisionPermissionSet", "sso:PutInlinePolicyToPermissionSet", "sso:UpdatePermissionSet" ], "Resource": "*" }, { "Sid": "IAMListPermissions", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "AccessToSSOProvisionedRoles", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" }, { "Effect": "Allow", "Action": [ "iam:GetSAMLProvider" ], "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE" } ] }
참고
"Sid": "IAMListPermissions", 및 "Sid": "AccessToSSOProvisionedRoles" 섹션에 나열된 추가 권한은 사용자가 AWS Organizations 관리 계정에서 할당을 생성할 수 있도록 하는 데에만 필요합니다. 경우에 따라 이 섹션에 iam:UpdateSAMLProvider을 추가해야 할 수도 있습니다.
예 3: 사용자가 IAM Identity Center에서 애플리케이션을 관리하도록 허용
다음 권한 정책은 사용자가 Identity Center 카탈로그 내에서 사전 통합된 SaaS 애플리케이션을 포함하여 IAM Identity Center의 애플리케이션을 보고 구성할 수 있는 권한을 IAM 부여합니다.
참고
다음 정책 예제에서 사용되는 sso:AssociateProfile 작업은 애플리케이션에 대한 사용자 및 그룹 할당을 관리하는 데 필요합니다. 또한 사용자가 기존 권한 집합을 사용하여 사용자와 그룹을 할당할 수 AWS 계정 있습니다. 사용자가 IAM Identity Center 내에서 AWS 계정 액세스를 관리해야 하고 권한 집합을 관리하는 데 필요한 권한이 필요한 경우 를 참조하십시오예 2: 사용자가 IAM Identity AWS 계정 Center에서 권한을 관리하도록 허용.
2020년 10월 기준, 이러한 작업 중 상당수는 AWS 콘솔을 통해서만 사용할 수 있습니다. 이 예제 정책에는 이러한 경우에 대해 콘솔의 오류 없는 작동과 관련된 목록, 가져오기, 검색과 같은 “읽기” 작업이 포함되어 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:ImportApplicationInstanceServiceProviderMetadata", "sso:DeleteApplicationInstance", "sso:DeleteProfile", "sso:DisassociateProfile", "sso:GetApplicationTemplate", "sso:UpdateApplicationInstanceServiceProviderConfiguration", "sso:UpdateApplicationInstanceDisplayData", "sso:DeleteManagedApplicationInstance", "sso:UpdateApplicationInstanceStatus", "sso:GetManagedApplicationInstance", "sso:UpdateManagedApplicationInstanceStatus", "sso:CreateManagedApplicationInstance", "sso:UpdateApplicationInstanceSecurityConfiguration", "sso:UpdateApplicationInstanceResponseConfiguration", "sso:GetApplicationInstance", "sso:CreateApplicationInstanceCertificate", "sso:UpdateApplicationInstanceResponseSchemaConfiguration", "sso:UpdateApplicationInstanceActiveCertificate", "sso:DeleteApplicationInstanceCertificate", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationTemplates", "sso:ListApplications", "sso:ListApplicationInstances", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso:ListProfileAssociations", "sso:ListInstances", "sso:GetProfile", "sso:GetSSOStatus", "sso:GetSsoConfiguration", "sso-directory:DescribeDirectory", "sso-directory:DescribeUsers", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
예 4: 사용자가 Identity Center 디렉터리의 사용자 및 그룹을 관리하도록 허용
다음 권한 정책은 사용자가 IAM Identity Center에서 사용자 및 그룹을 만들고, 보고, 수정하고, 삭제할 수 있는 권한을 부여합니다.
경우에 따라 IAM Identity Center의 사용자 및 그룹에 대한 직접 수정이 제한됩니다. Active Directory 또는 Automatic Provisioning이 활성화된 외부 ID 제공업체를 ID 소스로 선택한 경우를 예로 들 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:DisableUser", "sso-directory:EnableUser", "sso-directory:SearchGroups", "sso-directory:DeleteGroup", "sso-directory:AddMemberToGroup", "sso-directory:DescribeDirectory", "sso-directory:UpdateUser", "sso-directory:ListMembersInGroup", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:SearchUsers", "sso:ListDirectoryAssociations", "sso-directory:RemoveMemberFromGroup", "sso-directory:DeleteUser", "sso-directory:DescribeUsers", "sso-directory:UpdateGroup", "sso-directory:CreateGroup" ], "Resource": "*" } ] }
IAMIdentity Center 콘솔을 사용하는 데 필요한 권한
사용자가 IAM Identity Center 콘솔을 오류 없이 사용하려면 추가 권한이 필요합니다. 필요한 최소 권한보다 더 제한적인 IAM 정책을 만든 경우 해당 정책을 사용하는 사용자에게 콘솔이 제대로 작동하지 않습니다. 다음 예에는 IAM Identity Center 콘솔 내에서 오류 없이 작동하는 데 필요할 수 있는 권한 집합이 나열되어 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:DescribeAccountAssignmentCreationStatus", "sso:DescribeAccountAssignmentDeletionStatus", "sso:DescribePermissionSet", "sso:DescribePermissionSetProvisioningStatus", "sso:DescribePermissionsPolicies", "sso:DescribeRegisteredRegions", "sso:GetApplicationInstance", "sso:GetApplicationTemplate", "sso:GetInlinePolicyForPermissionSet", "sso:GetManagedApplicationInstance", "sso:GetMfaDeviceManagementForDirectory", "sso:GetPermissionSet", "sso:GetPermissionsPolicy", "sso:GetProfile", "sso:GetSharedSsoConfiguration", "sso:GetSsoConfiguration", "sso:GetSSOStatus", "sso:GetTrust", "sso:ListAccountAssignmentCreationStatus", "sso:ListAccountAssignmentDeletionStatus", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationInstances", "sso:ListApplications", "sso:ListApplicationTemplates", "sso:ListDirectoryAssociations", "sso:ListInstances", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetProvisioningStatus", "sso:ListPermissionSets", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListProfileAssociations", "sso:ListProfiles", "sso:ListTagsForResource", "sso-directory:DescribeDirectory", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso-directory:ListGroupsForUser", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
