기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS IAM Identity Center에 대한 관리형 정책

팀에 필요한 권한만 제공하는 IAM 고객 관리형 정책을 생성하기 위해서는 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 AWS 관리형 정책을 사용할 수 있습니다. 이 정책은 일반적인 사용 사례를 다루며 사용자의 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 정보는 IAM 사용 설명서에서 AWS 관리형 정책을 참조하세요.

AWS 서비스는 AWS 관리형 정책을 유지 관리하고 업데이트합니다. AWS 관리형 정책에서는 권한을 변경할 수 없습니다. 서비스에서 때때로 추가 권한을 AWS 관리형 정책에 추가하여 새로운 기능을 지원합니다. 이 유형의 업데이트는 정책이 연결된 모든 ID(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새로운 기능이 시작되거나 새 작업을 사용할 수 있을 때 AWS 관리형 정책에 업데이트됩니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않으므로 정책 업데이트가 기존 권한을 손상시키지 않습니다.

또한는 여러 서비스에 걸쳐 있는 직무에 대한 관리형 정책을 AWS 지원합니다. 예를 들어 ReadOnlyAccess AWS 관리형 정책은 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스를 제공합니다. 서비스가 새 기능을 시작하면는 새 작업 및 리소스에 대한 읽기 전용 권한을 AWS 추가합니다. 직무 정책의 목록과 설명은 IAM 사용 설명서의 직무에 관한AWS 관리형 정책을 참조하세요.

사용자 세션을 나열하고 삭제할 수 있는 새 작업은 새 네임스페이스 identitystore-auth에서 사용할 수 있습니다. 해당 네임스페이스의 작업에 대한 추가 권한은 이 페이지에서 업데이트됩니다. 사용자 지정 IAM 정책을 생성할 때는 identitystore-auth 뒤에 *를 사용하지 않는 것이 좋습니다. 이는 현재 또는 미래에 네임스페이스에 있는 모든 작업에 적용되기 때문입니다.

AWS 관리형 정책: AWSSSOMasterAccountAdministrator

이 AWSSSOMasterAccountAdministrator 정책은 보안 주체에게 필요한 관리 조치를 제공합니다. 이 정책은 AWS IAM Identity Center 관리자의 작업 역할을 수행하는 보안 주체를 대상으로 합니다. 제공된 작업 목록은 시간이 지나면 IAM Identity Center의 기존 기능 및 관리자에게 필요한 작업에 맞게 업데이트됩니다.

AWSSSOMasterAccountAdministrator 정책을 IAM 보안 인증에 연결할 수 있습니다. AWSSSOMasterAccountAdministrator 정책을 자격 증명에 연결하면 관리 AWS IAM Identity Center 권한을 부여합니다. 이 정책을 사용하는 보안 주체는 AWS Organizations 관리 계정 및 모든 멤버 계정 내의 IAM Identity Center에 액세스할 수 있습니다. 이 주체는 IAM Identity Center 인스턴스, 사용자, 권한 세트 및 할당을 생성하는 기능을 포함하여 모든 IAM Identity Center 작업을 완벽하게 관리할 수 있습니다. 또한 보안 주체는 AWS 조직 멤버 계정 전체에서 이러한 할당을 인스턴스화하고 AWS Directory Service 관리형 디렉터리와 IAM Identity Center 간에 연결을 설정할 수 있습니다. 새 관리 기능이 출시되면 계정 관리자에게 이러한 권한이 자동으로 부여됩니다.

권한 그룹화

이 정책은 제공된 권한에 따라 명령문으로 그룹화됩니다.

이 정책의 권한을 보려면 AWS 관리형 정책 참조의 AWSSSOMasterAccountAdministrator를 참조하세요.

이 정책에 대한 추가 정보입니다.

IAM Identity Center가 처음 활성화된 경우 IAM Identity Center 서비스는 AWS Organizations 관리 계정(이전 마스터 계정)에 서비스 연결 역할을 생성하여 IAM Identity Center가 계정의 리소스를 관리할 수 있도록 합니다. 필요한 작업은 다음 코드 조각에 나와 있는 iam:CreateServiceLinkedRole 및 iam:PassRole입니다.

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "AWSSSOCreateSLR",
      "Effect" : "Allow",
      "Action" : "iam:CreateServiceLinkedRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:AWSServiceName" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMasterAccountAdministrator",
      "Effect" : "Allow",
      "Action" : "iam:PassRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:PassedToService" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMemberAccountAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "ds:DescribeTrusts",
        "ds:UnauthorizeApplication",
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "iam:ListPolicies",
        "organizations:EnableAWSServiceAccess",
        "organizations:ListRoots",
        "organizations:ListAccounts",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListAccountsForParent",
        "organizations:DescribeOrganization",
        "organizations:ListChildren",
        "organizations:DescribeAccount",
        "organizations:ListParents",
        "organizations:ListDelegatedAdministrators",
        "sso:*",
        "sso-directory:*",
        "identitystore:*",
        "identitystore-auth:*",
        "ds:CreateAlias",
        "access-analyzer:ValidatePolicy",
        "signin:CreateTrustedIdentityPropagationApplicationForConsole",
        "signin:ListTrustedIdentityPropagationApplicationsForConsole"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "AWSSSOManageDelegatedAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "organizations:ServicePrincipal" : "sso.amazonaws.com"
        }
      }
      },
      {
         "Sid": "AllowDeleteSyncProfile",
         "Effect": "Allow",
         "Action": [
                  "identity-sync:DeleteSyncProfile"
         ],
         "Resource": [
                  "arn:aws:identity-sync:*:*:profile/*"
         ]
    }
  ]
}
         

AWS 관리형 정책: AWSSSOMemberAccountAdministrator

이 AWSSSOMemberAccountAdministrator 정책은 보안 주체에게 필요한 관리 조치를 제공합니다. 이 정책은 IAM Identity Center 관리자 역할을 수행하는 주체를 대상으로 합니다. 제공된 작업 목록은 시간이 지나면 IAM Identity Center의 기존 기능 및 관리자에게 필요한 작업에 맞게 업데이트됩니다.

AWSSSOMemberAccountAdministrator 정책을 IAM 보안 인증에 연결할 수 있습니다. AWSSSOMemberAccountAdministrator 정책을 자격 증명에 연결하면 관리 AWS IAM Identity Center 권한을 부여합니다. 이 정책을 사용하는 보안 주체는 AWS Organizations 관리 계정 및 모든 멤버 계정 내의 IAM Identity Center에 액세스할 수 있습니다. 이 주체는 사용자, 권한 세트 및 할당을 생성하는 기능을 포함하여 모든 IAM Identity Center 작업을 완벽하게 관리할 수 있습니다. 또한 보안 주체는 AWS 조직 멤버 계정 전체에서 이러한 할당을 인스턴스화하고 AWS Directory Service 관리형 디렉터리와 IAM Identity Center 간에 연결을 설정할 수 있습니다. 새 관리 기능이 출시되면 계정 관리자에게 이러한 권한이 자동으로 부여됩니다.

이 정책의 권한을 보려면 AWS 관리형 정책 참조의 AWSSSOMemberAccountAdministrator를 참조하세요.

이 정책에 대한 추가 정보입니다.

IAM Identity Center 관리자는 Identity Center 디렉터리 저장소(sso-directory)에서 사용자, 그룹 및 암호를 관리합니다. 계정 관리자 역할에는 다음 작업에 대한 권한이 포함되어 있습니다.

IAM Identity Center 관리자는 일상적인 작업을 수행하려면 다음 AWS Directory Service 작업에 대한 제한된 권한이 필요합니다.

이러한 권한을 통해 IAM Identity Center 관리자는 기존 디렉터리를 식별하고 애플리케이션을 관리하여 IAM Identity Center와 함께 사용하도록 구성할 수 있습니다. 각 작업에 대한 자세한 내용을 알아보려면 AWS Directory Service API 권한: 작업, 리소스 및 조건 참조를 참조하세요.

IAM Identity Center는 IAM 정책을 사용하여 IAM Identity Center 사용자에게 권한을 부여합니다. IAM Identity Center 관리자는 권한 세트를 생성하고 여기에 정책을 연결합니다. IAM Identity Center 관리자는 생성 또는 업데이트 중인 권한 세트와 함께 사용할 정책을 선택할 수 있도록 기존 정책을 나열할 권한이 있어야 합니다. 안전하고 기능적인 권한을 설정하려면 IAM Identity Center 관리자에게 IAM Access Analyzer 정책 검증을 실행할 수 있는 권한이 있어야 합니다.

IAM Identity Center 관리자는 일상적인 작업을 수행하려면 다음 AWS Organizations 작업에 대한 제한된 액세스 권한이 필요합니다.

이러한 권한을 통해 IAM Identity Center 관리자는 조직 리소스(계정)를 사용하여 다음과 같은 기본적인 IAM Identity Center 관리 작업을 수행할 수 있습니다.

IAM Identity Center에서 위임된 관리자를 사용하는 방법에 대한 자세한 내용을 알아보려면 위임된 관리를 참조하세요. 이러한 권한을와 함께 사용하는 방법에 대한 자세한 내용은 다른 AWS 서비스와 AWS Organizations 함께 사용을 AWS Organizations참조하세요.

AWS 관리형 정책: AWSSSODirectoryAdministrator

AWSSSODirectoryAdministrator 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 IAM Identity Center 사용자 및 그룹에 대한 관리 권한을 부여합니다. 이 정책이 연결된 보안 주체는 IAM Identity Center 사용자 및 그룹을 업데이트할 수 있습니다.

이 정책의 권한을 보려면 AWS 관리형 정책 참조의 AWSSSODirectoryAdministrator를 참조하세요.

AWS 관리형 정책: AWSSSOReadOnly

AWSSSOReadOnly 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 IAM Identity Center의 정보를 볼 수 있는 읽기 전용 권한을 사용자에게 부여합니다. 이 정책이 연결된 보안 주체는 IAM Identity Center 사용자 및 그룹을 직접 볼 수 없습니다. 이 정책이 연결된 보안 주체는 IAM Identity Center에서 어떤 업데이트도 수행할 수 없습니다. 예를 들어 이러한 권한이 있는 보안 주체는 IAM Identity Center 설정을 볼 수 있지만 설정 값은 변경할 수 없습니다.

이 정책의 권한을 보려면 AWS 관리형 정책 참조의 AWSSSOReadOnly를 참조하세요.

AWS 관리형 정책: AWSSSODirectoryReadOnly

AWSSSODirectoryReadOnly 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 IAM Identity Center의 사용자 및 그룹을 볼 수 있는 읽기 전용 권한을 사용자에게 부여합니다. 이 정책이 연결된 보안 주체는 IAM Identity Center 할당, 권한 세트, 애플리케이션 또는 설정을 볼 수 없습니다. 이 정책이 연결된 보안 주체는 IAM Identity Center에서 어떤 업데이트도 수행할 수 없습니다. 예를 들어 이러한 권한을 가진 보안 주체는 IAM Identity Center 사용자를 볼 수 있지만 사용자 속성을 변경하거나 MFA 디바이스를 할당할 수는 없습니다.

이 정책의 권한을 보려면 AWS 관리형 정책 참조의 AWSSSODirectoryReadOnly를 참조하세요.

AWS 관리형 정책: AWSIdentitySyncFullAccess

AWSIdentitySyncFullAccess 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책이 연결된 보안 주체는 동기화 프로필을 생성 및 삭제하고, 동기화 프로필을 동기화 대상과 연결 또는 업데이트하고, 동기화 필터를 생성, 나열 및 삭제하고, 동기화를 시작 또는 중지할 수 있는 전체 액세스 권한을 가집니다.

권한 세부 정보

이 정책의 권한을 보려면 AWS 관리형 정책 참조의 AWSIdentitySyncFullAccess를 참조하세요.

AWS 관리형 정책: AWSIdentitySyncReadOnlyAccess

AWSIdentitySyncReadOnlyAccess 정책을 IAM 보안 인증에 연결할 수 있습니다.

이 정책은 사용자가 ID 동기화 프로필, 필터 및 대상 설정에 대한 정보를 볼 수 있는 읽기 전용 권한을 부여합니다. 이 정책이 연결된 보안 주체는 동기화 설정을 업데이트할 수 없습니다. 예를 들어 이러한 권한이 있는 보안 주체는 프로필 동기화 설정을 볼 수 있지만 프로필 또는 필터 값은 변경할 수 없습니다.

이 정책의 권한을 보려면 AWS 관리형 정책 참조의 AWSIdentitySyncReadOnlyAccess를 참조하세요.

AWS 관리형 정책: AWSSSOServiceRolePolicy

AWSSSOServiceRolePolicy 정책을 IAM 자격 증명에 연결할 수 없습니다.

이 정책은 IAM Identity Center가 특정에 대한 Single Sign-On 액세스 권한이 있는 사용자를 위임하고 적용할 수 있는 서비스 연결 역할에 연결됩니다 AWS 계정 AWS Organizations. IAM을 활성화하면 조직 AWS 계정 내 모든에 서비스 연결 역할이 생성됩니다. 또한 IAM Identity Center는 이후에 조직에 추가되는 모든 계정에 동일한 서비스 연결 역할을 생성합니다. 이 역할을 통해 IAM Identity Center는 사용자를 대신하여 각 계정의 리소스에 액세스할 수 있습니다. 각에서 생성되는 서비스 연결 역할의 이름은 AWS 계정 입니다AWSServiceRoleForSSO. 자세한 내용은 IAM Identity Center 서비스 연결 역할 사용 단원을 참조하십시오.

AWS 관리형 정책: AWSIAMIdentityCenterAllowListForIdentityContext

IAM Identity Center 자격 증명 컨텍스트로 역할을 수임할 때 AWS Security Token Service (AWS STS)는 AWSIAMIdentityCenterAllowListForIdentityContext 정책을 역할에 자동으로 연결합니다.

이 정책은 IAM Identity Center ID 컨텍스트를 사용하여 수임한 역할에서 신뢰할 수 있는 ID 전파를 사용할 때 허용되는 작업 목록을 제공합니다. 이 컨텍스트로 호출되는 다른 모든 작업은 차단됩니다. ID 컨텍스트는 ProvidedContext로 전달됩니다.

이 정책의 권한을 보려면 AWS 관리형 정책 참조의 AWSIAMIdentityCenterAllowListForIdentityContext를 참조하세요.

AWS 관리형 정책에 대한 IAM Identity Center 업데이트

다음 표에서는이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 IAM Identity Center의 AWS 관리형 정책에 대한 업데이트를 설명합니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 IAM Identity Center 문서 기록 페이지에서 RSS 피드를 구독하세요.