Exemplos de políticas baseadas em identidade para IAM o Identity Center - AWS IAM Identity Center
Exemplos de políticas personalizadasPermissões necessárias para usar o console do IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de políticas baseadas em identidade para IAM o Identity Center

Este tópico fornece exemplos de IAM políticas que você pode criar para conceder permissões aos usuários e funções para administrar o IAM Identity Center.

Importante

Recomendamos que você primeiro analise os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do IAM Identity Center. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos do IAM Identity Center.

As seções neste tópico abrangem o seguinte:

Exemplos de políticas personalizadas

Esta seção fornece exemplos de casos de uso comuns que exigem uma IAM política personalizada. Esses exemplos de políticas são políticas baseadas em identidade, que não especificam o elemento da entidade principal. Isso ocorre porque, com uma política baseada em identidade, não se especifica a entidade principal que obtém as permissões. Em vez disso, você anexa a política à entidade entidade principal. Quando você anexa uma política de permissão baseada em identidade a uma IAM função, o principal identificado na política de confiança da função obtém as permissões. Você pode criar políticas baseadas em identidade IAM e anexá-las a usuários, grupos e/ou funções. Você também pode aplicar essas políticas aos usuários do IAM Identity Center ao criar um conjunto de permissões no IAM Identity Center.

nota

Use esses exemplos ao criar políticas para seu ambiente e certifique-se de testar casos de teste positivos (“acesso concedido”) e negativos (“acesso negado”) antes de implantar essas políticas em seu ambiente de produção. Para obter mais informações sobre IAM políticas de teste, consulte Teste de IAM políticas com o simulador de IAM políticas no Guia do IAM usuário.

Exemplo 1: Permitir que um usuário visualize o IAM Identity Center

A política de permissões a seguir concede permissões somente de leitura a um usuário para que ele possa visualizar todas as configurações e informações de diretório definidas no IAM Identity Center.

nota

Esta política é fornecida apenas para fins de exemplo. Em um ambiente de produção, recomendamos que você use a política ViewOnlyAccess AWS gerenciada do IAM Identity Center.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ds:DescribeDirectories",
                "ds:DescribeTrusts",
                "iam:ListPolicies",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListParents",
                "organizations:ListChildren",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent",
                "sso:ListManagedPoliciesInPermissionSet",
                "sso:ListPermissionSetsProvisionedToAccount",
                "sso:ListAccountAssignments",
                "sso:ListAccountsForProvisionedPermissionSet",
                "sso:ListPermissionSets",
                "sso:DescribePermissionSet",
                "sso:GetInlinePolicyForPermissionSet",
                "sso-directory:DescribeDirectory",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups"
            ],
            "Resource": "*"
        }
    ]
}

Exemplo 2: Permitir que um usuário gerencie permissões Contas da AWS no IAM Identity Center

A política de permissões a seguir concede permissões para permitir que um usuário crie, gerencie e implemente conjuntos de permissões para o seu Contas da AWS. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:AttachManagedPolicyToPermissionSet",
                "sso:CreateAccountAssignment",
                "sso:CreatePermissionSet",
                "sso:DeleteAccountAssignment",
                "sso:DeleteInlinePolicyFromPermissionSet",
                "sso:DeletePermissionSet",
                "sso:DetachManagedPolicyFromPermissionSet",
                "sso:ProvisionPermissionSet",
                "sso:PutInlinePolicyToPermissionSet",
                "sso:UpdatePermissionSet"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IAMListPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AccessToSSOProvisionedRoles",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy",
                "iam:GetRole",
                "iam:ListAttachedRolePolicies",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:UpdateRole",
                "iam:UpdateRoleDescription"
            ],
            "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetSAMLProvider"
            ],
            "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE"
        }
    ]
}
nota

As permissões adicionais listadas nas "Sid": "IAMListPermissions" "Sid": "AccessToSSOProvisionedRoles" seções e são necessárias somente para permitir que o usuário crie atribuições na conta AWS Organizations de gerenciamento. Em certos casos, também pode ser necessário adicionar itens iam:UpdateSAMLProvider a essas seções.

Exemplo 3: Permitir que um usuário gerencie aplicativos no IAM Identity Center

A política de permissões a seguir concede permissões para permitir que um usuário visualize e configure aplicativos no IAM Identity Center, incluindo aplicativos SaaS pré-integrados do catálogo IAM do Identity Center.

nota

A operação sso:AssociateProfile usada no exemplo de política a seguir é necessária para o gerenciamento das atribuições de usuários e grupos aos aplicativos. Também permite que um usuário atribua usuários e grupos Contas da AWS usando os conjuntos de permissões existentes. Se um usuário precisar gerenciar o Conta da AWS acesso no IAM Identity Center e exigir as permissões necessárias para gerenciar os conjuntos de permissões, consulteExemplo 2: Permitir que um usuário gerencie permissões Contas da AWS no IAM Identity Center.

Em outubro de 2020, muitas dessas operações estavam disponíveis somente por meio do console AWS . Esse exemplo de política inclui ações de “leitura”, como listar, obter e pesquisar, que são relevantes para a operação sem erros do console nesse caso.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:AssociateProfile",
                "sso:CreateApplicationInstance",
                "sso:ImportApplicationInstanceServiceProviderMetadata",
                "sso:DeleteApplicationInstance",
                "sso:DeleteProfile",
                "sso:DisassociateProfile",
                "sso:GetApplicationTemplate",
                "sso:UpdateApplicationInstanceServiceProviderConfiguration",
                "sso:UpdateApplicationInstanceDisplayData",
                "sso:DeleteManagedApplicationInstance",
                "sso:UpdateApplicationInstanceStatus",
                "sso:GetManagedApplicationInstance",
                "sso:UpdateManagedApplicationInstanceStatus",
                "sso:CreateManagedApplicationInstance",
                "sso:UpdateApplicationInstanceSecurityConfiguration",
                "sso:UpdateApplicationInstanceResponseConfiguration",
                "sso:GetApplicationInstance",
                "sso:CreateApplicationInstanceCertificate",
                "sso:UpdateApplicationInstanceResponseSchemaConfiguration",
                "sso:UpdateApplicationInstanceActiveCertificate",
                "sso:DeleteApplicationInstanceCertificate",
                "sso:ListApplicationInstanceCertificates",
                "sso:ListApplicationTemplates",
                "sso:ListApplications",
                "sso:ListApplicationInstances",
                "sso:ListDirectoryAssociations",
                "sso:ListProfiles",
                "sso:ListProfileAssociations",
                "sso:ListInstances",
                "sso:GetProfile",
                "sso:GetSSOStatus",
                "sso:GetSsoConfiguration",
                "sso-directory:DescribeDirectory",
                "sso-directory:DescribeUsers",
                "sso-directory:ListMembersInGroup",
                "sso-directory:SearchGroups",
                "sso-directory:SearchUsers"
            ],
            "Resource": "*"
        }
    ]
}

Exemplo 4: permitir que um usuário gerencie usuários e grupos no seu diretório do Identity Center

A política de permissões a seguir concede permissões para permitir que um usuário crie, visualize, modifique e exclua usuários e grupos no IAM Identity Center.

Em alguns casos, as modificações diretas nos usuários e grupos no IAM Identity Center são restritas. Por exemplo, quando o Active Directory, ou um provedor de identidade externo com o provisionamento automático ativado, é selecionado como fonte de identidade.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso-directory:ListGroupsForUser",
                "sso-directory:DisableUser",
                "sso-directory:EnableUser",
                "sso-directory:SearchGroups",
                "sso-directory:DeleteGroup",
                "sso-directory:AddMemberToGroup",
                "sso-directory:DescribeDirectory",
                "sso-directory:UpdateUser",
                "sso-directory:ListMembersInGroup",
                "sso-directory:CreateUser",
                "sso-directory:DescribeGroups",
                "sso-directory:SearchUsers",
                "sso:ListDirectoryAssociations",
                "sso-directory:RemoveMemberFromGroup",
                "sso-directory:DeleteUser",
                "sso-directory:DescribeUsers",
                "sso-directory:UpdateGroup",
                "sso-directory:CreateGroup"
            ],
            "Resource": "*"
        }
    ]
}

Permissões necessárias para usar o console do IAM Identity Center

Para que um usuário trabalhe com o console do IAM Identity Center sem erros, são necessárias permissões adicionais. Se tiver sido criada uma IAM política que seja mais restritiva do que as permissões mínimas exigidas, o console não funcionará conforme o esperado para os usuários com essa política. O exemplo a seguir lista o conjunto de permissões que podem ser necessárias para garantir uma operação sem erros no console do IAM Identity Center.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:DescribeAccountAssignmentCreationStatus",
                "sso:DescribeAccountAssignmentDeletionStatus",
                "sso:DescribePermissionSet",
                "sso:DescribePermissionSetProvisioningStatus",
                "sso:DescribePermissionsPolicies",
                "sso:DescribeRegisteredRegions",
                "sso:GetApplicationInstance",
                "sso:GetApplicationTemplate",
                "sso:GetInlinePolicyForPermissionSet",
                "sso:GetManagedApplicationInstance",
                "sso:GetMfaDeviceManagementForDirectory",
                "sso:GetPermissionSet",
                "sso:GetPermissionsPolicy",
                "sso:GetProfile",
                "sso:GetSharedSsoConfiguration",
                "sso:GetSsoConfiguration",
                "sso:GetSSOStatus",
                "sso:GetTrust",
                "sso:ListAccountAssignmentCreationStatus",
                "sso:ListAccountAssignmentDeletionStatus",
                "sso:ListAccountAssignments",
                "sso:ListAccountsForProvisionedPermissionSet",
                "sso:ListApplicationInstanceCertificates",
                "sso:ListApplicationInstances",
                "sso:ListApplications",
                "sso:ListApplicationTemplates",
                "sso:ListDirectoryAssociations",
                "sso:ListInstances",
                "sso:ListManagedPoliciesInPermissionSet",
                "sso:ListPermissionSetProvisioningStatus",
                "sso:ListPermissionSets",
                "sso:ListPermissionSetsProvisionedToAccount",
                "sso:ListProfileAssociations",
                "sso:ListProfiles",
                "sso:ListTagsForResource",
                "sso-directory:DescribeDirectory",
                "sso-directory:DescribeGroups",
                "sso-directory:DescribeUsers",
                "sso-directory:ListGroupsForUser",
                "sso-directory:ListMembersInGroup",
                "sso-directory:SearchGroups",
                "sso-directory:SearchUsers"
            ],
            "Resource": "*"
        }
    ]
}