AWSSSOMasterAccountAdministrator AWSSSOMemberAccountAdministrator AWSSSODirectoryAdministrator AWSSSOReadOnly AWSSSODirectoryReadOnly AWSIdentitySyncFullAccess AWSIdentitySyncReadOnlyAccess AWSSSOServiceRolePolicy AWSIAMIdentityCenterAllowListForIdentityContext Atualizações do IAM Identity Center a políticas gerenciadas por AWS

Políticas gerenciadas pela AWS para o IAM Identity Center

É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, é possível usar políticas gerenciadas da AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no IAM User Guide.

Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspendem suas permissões existentes.

Além disso, a AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política gerenciada pela denominada ReadOnlyAccess AWS fornece acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço executa um novo atributo, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte managed policies for job functions AWS para funções de trabalho no IAM User Guide.

Novas ações que permitem listar e excluir sessões de usuário estão disponíveis no novo namespaceidentitystore-auth. Quaisquer permissões adicionais para ações nesse namespace serão atualizadas nesta página. Ao criar suas políticas personalizadas do IAM, evite usar * depois de identitystore-auth, pois isso se aplica a todas as ações que existem no namespace hoje ou no futuro.

Política gerenciada por AWS: AWSSSOMasterAccountAdministrator

A política AWSSSOMasterAccountAdministrator fornece as ações administrativas necessárias às entidades principais A política é destinada a diretores que desempenham a função de administrador AWS IAM Identity Center. Com o tempo, a lista de ações fornecidas será atualizada para corresponder à funcionalidade existente do IAM Identity Center e às ações que são necessárias como administrador.

É possível anexar a política AWSSSOMasterAccountAdministrator a suas identidades do IAM. Ao anexar a política AWSSSOMasterAccountAdministrator a uma identidade, você concede permissões administrativas AWS IAM Identity Center. As entidades principais com essa política podem acessar o IAM Identity Center na conta de gerenciamento AWS Organizations e em todas as contas-membro. Essa entidade principal pode gerenciar totalmente todas as operações do IAM Identity Center, incluindo a capacidade de criar uma instância do IAM Identity Center, usuários, conjuntos de permissões e atribuições. A entidade principal também pode instanciar essas atribuições em todas as contas-membro da organização AWS e estabelecer conexões entre os diretórios gerenciados por AWS Directory Service e o IAM Identity Center. À medida que novos atributos administrativos forem lançados, o administrador da conta receberá essas permissões automaticamente.

Agrupamentos de permissões

Esta política é agrupada em declarações com base no conjunto de permissões fornecidas.

AWSSSOMasterAccountAdministrator— Permite que o IAM Identity Center transmita o perfil de serviço chamado AWSServiceRoleforSSO para o IAM Identity Center para que ele possa posteriormente assumir o perfil e realizar ações em seu nome. Isso é necessário quando a pessoa ou o aplicativo tenta ativar o IAM Identity Center. Para ter mais informações, consulte Acesso do Conta da AWS.
AWSSSOMemberAccountAdministrator— Permite que o IAM Identity Center execute ações do administrador da conta em um ambiente AWS com várias contas. Para ter mais informações, consulte Política gerenciada por AWS: AWSSSOMemberAccountAdministrator.
AWSSSOManageDelegatedAdministrator— Permite que o IAM Identity Center registre e cancele o registro de um administrador delegado para sua organização.

Para visualizar as permissões para essa política, consulte AWSSSOMasterAccountAdministrator na AWS Managed Policy Reference.

Informações adicionais sobre essa política.

Quando o IAM Identity Center é ativado pela primeira vez, o serviço IAM Identity Center cria um perfil vinculado ao serviço na AWS Organizations conta de gerenciamento (antiga conta principal) para que o IAM Identity Center possa gerenciar os recursos em sua conta. As ações necessárias são iam:CreateServiceLinkedRole e iam:PassRole, que são mostradas nos trechos a seguir.


{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "AWSSSOCreateSLR",
      "Effect" : "Allow",
      "Action" : "iam:CreateServiceLinkedRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:AWSServiceName" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMasterAccountAdministrator",
      "Effect" : "Allow",
      "Action" : "iam:PassRole",
      "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
      "Condition" : {
        "StringLike" : {
          "iam:PassedToService" : "sso.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "AWSSSOMemberAccountAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "ds:DescribeTrusts",
        "ds:UnauthorizeApplication",
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "iam:ListPolicies",
        "organizations:EnableAWSServiceAccess",
        "organizations:ListRoots",
        "organizations:ListAccounts",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListAccountsForParent",
        "organizations:DescribeOrganization",
        "organizations:ListChildren",
        "organizations:DescribeAccount",
        "organizations:ListParents",
        "organizations:ListDelegatedAdministrators",
        "sso:*",
        "sso-directory:*",
        "identitystore:*",
        "identitystore-auth:*",
        "ds:CreateAlias",
        "access-analyzer:ValidatePolicy",
        "signin:CreateTrustedIdentityPropagationApplicationForConsole",
        "signin:ListTrustedIdentityPropagationApplicationsForConsole"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "AWSSSOManageDelegatedAdministrator",
      "Effect" : "Allow",
      "Action" : [
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "organizations:ServicePrincipal" : "sso.amazonaws.com"
        }
      }
      },
      {
         "Sid": "AllowDeleteSyncProfile",
         "Effect": "Allow",
         "Action": [
                  "identity-sync:DeleteSyncProfile"
         ],
         "Resource": [
                  "arn:aws:identity-sync:*:*:profile/*"
         ]
    }
  ]
}

Política gerenciada por AWS: AWSSSOMemberAccountAdministrator

A política AWSSSOMemberAccountAdministrator fornece as ações administrativas necessárias às entidades principais A política é destinada a entidades principais que desempenham a função de administrador de um IAM Identity Center. Com o tempo, a lista de ações fornecidas será atualizada para corresponder à funcionalidade existente do IAM Identity Center e às ações que são necessárias como administrador.

É possível anexar a política AWSSSOMemberAccountAdministrator a suas identidades do IAM. Ao anexar a política AWSSSOMemberAccountAdministrator a uma identidade, você concede permissões administrativas AWS IAM Identity Center. As entidades principais com essa política podem acessar o IAM Identity Center na conta de gerenciamento AWS Organizations e em todas as contas-membro. Essa entidade principal pode gerenciar totalmente todas as operações do IAM Identity Center, incluindo a capacidade de criar usuários, conjuntos de permissões e atribuições. A entidade principal também pode instanciar essas atribuições em todas as contas-membro da organização AWS e estabelecer conexões entre os diretórios gerenciados por AWS Directory Service e o IAM Identity Center. À medida que novos atributos administrativos forem lançados, o administrador da conta receberá essas permissões automaticamente.

Para visualizar as permissões para essa política, consulte AWSSSOMemberAccountAdministrator na AWS Managed Policy Reference.

Informações adicionais sobre essa política.

Os administradores do IAM Identity Center gerenciam usuários, grupos e senhas em seu repositório de diretórios do Identity Center (diretório sso). A função de administrador da conta inclui permissões para as seguintes ações:

"sso:*"
"sso-directory:*"

Os administradores do IAM Identity Center precisam de permissões limitadas para as seguintes ações AWS Directory Service para realizar tarefas diárias.

"ds:DescribeTrusts"
"ds:UnauthorizeApplication"
"ds:DescribeDirectories"
"ds:AuthorizeApplication"
“ds:CreateAlias”

Essas permissões permitem que os administradores do IAM Identity Center identifiquem os diretórios existentes e gerenciem aplicativos para que possam ser configurados para uso com o IAM Identity Center. Para obter mais informações sobre cada uma dessas ações, consulte Permissões AWS Directory Service da API: referência de ações, recursos e condições.

O IAM Identity Center usa políticas do IAM para conceder permissões aos usuários do IAM Identity Center. Os administradores do IAM Identity Center criam conjuntos de permissões e anexam políticas a eles. O administrador do IAM Identity Center deve ter as permissões para listar as políticas existentes para poder escolher quais políticas usar com o conjunto de permissões que está criando ou atualizando. Para definir permissões seguras e funcionais, o administrador do IAM Identity Center deve ter permissões para executar a validação da política do IAM Access Analyzer.

"iam:ListPolicies"
"access-analyzer:ValidatePolicy"

Os administradores do IAM Identity Center precisam de permissões limitadas para as seguintes ações AWS Organizations para realizar tarefas diárias.

"organizations:EnableAWSServiceAccess"
"organizations:ListRoots"
"organizations:ListAccounts"
"organizations:ListOrganizationalUnitsForParent"
"organizations:ListAccountsForParent"
"organizations:DescribeOrganization"
"organizations:ListChildren"
"organizations:DescribeAccount"
"organizations:ListParents"
"organizations:ListDelegatedAdministrators"
"organizations:RegisterDelegatedAdministrator"
"organizations:DeregisterDelegatedAdministrator"

Essas permissões permitem que os administradores do IAM Identity Center trabalhem com os recursos da organização (contas) para tarefas administrativas básicas do IAM Identity Center, como as seguintes:

Identificar a conta de gerenciamento que pertence à organização
Identificar as contas dos membros que pertencem à organização
Habilitando AWS o acesso ao serviço para contas
Configurar um administrador delegado

Para obter mais informações sobre como usar um administrador delegado com o IAM Identity Center, consulteAdministradores delegados. Para obter mais informações sobre como essas permissões são usadas comAWS Organizations, consulte Usando AWS Organizations com outros AWS serviços.

AWS política gerenciada: awsssoDirectoryAdministrator

É possível anexar a política AWSSSODirectoryAdministrator a suas identidades do IAM.

Essa política concede permissões administrativas aos usuários e grupos do IAM Identity Center. Os diretores com essa política anexada podem fazer qualquer atualização nos usuários e grupos do IAM Identity Center.

Para visualizar as permissões para essa política, consulte AWSSSODirectoryAdministrator na AWS Managed Policy Reference.

AWS política gerenciada: AWSSSOReadOnly

É possível anexar a política AWSSSOReadOnly a suas identidades do IAM.

Esta política concede permissões de acesso somente para leitura que permitem que usuários visualizem informações no IAM Identity Center. Os diretores com essa política anexada não podem visualizar diretamente os usuários ou grupos do IAM Identity Center. Os diretores com essa política anexada não podem fazer nenhuma atualização no IAM Identity Center. Por exemplo, diretores com essas permissões podem visualizar as configurações do IAM Identity Center, mas não podem alterar nenhum dos valores da configuração.

Para visualizar as permissões para essa política, consulte AWSSSOReadOnly na AWS Managed Policy Reference.

AWS política gerenciada: AWSSSODirectoryReadOnly

É possível anexar a política AWSSSODirectoryReadOnly a suas identidades do IAM.

Essa política concede permissões somente para leitura que permitem que os usuários visualizem usuários e grupos no IAM Identity Center. Os diretores com essa política anexada não podem visualizar as atribuições, os conjuntos de permissões, os aplicativos ou as configurações do IAM Identity Center. Os diretores com essa política anexada não podem fazer nenhuma atualização no IAM Identity Center. Por exemplo, diretores com essas permissões podem visualizar os usuários do IAM Identity Center, mas não podem alterar nenhum atributo do usuário nem atribuir dispositivos de MFA.

Para visualizar as permissões para essa política, consulte AWSSSODirectoryReadOnly na AWS Managed Policy Reference.

AWS política gerenciada: AWSIdentitySyncFullAccess

É possível anexar a política AWSIdentitySyncFullAccess a suas identidades do IAM.

As entidades principais com esta política anexada têm permissões de acesso total para criar e excluir perfis de sincronização, associar ou atualizar um perfil de sincronização a um destino de sincronização, criar, listar e excluir filtros de sincronização e iniciar ou interromper a sincronização.

Detalhes da permissão

Para visualizar as permissões para essa política, consulte AWSIdentitySyncFullAccess na AWS Managed Policy Reference.

AWS política gerenciada: AWSIdentitySyncReadOnlyAccess

É possível anexar a política AWSIdentitySyncReadOnlyAccess a suas identidades do IAM.

Essa política concede permissões somente para leitura que permitem que os usuários visualizem informações sobre o perfil de sincronização de identidade, filtros e configurações de destino. As entidades principais com essa política anexada não podem fazer nenhuma atualização nas configurações de sincronização. Por exemplo, entidades principais com essas permissões podem visualizar as configurações de sincronização de identidade, mas não podem alterar nenhum valor do perfil ou do filtro.

Para visualizar as permissões para essa política, consulte AWSIdentitySyncReadOnlyAccess na AWS Managed Policy Reference.

Política gerenciada por AWS: AWSSSOServiceRolePolicy

É possível anexar a política AWSSSOServiceRolePolicy a suas identidades do IAM.

Esta política está anexada a uma função vinculada ao serviço que permite ao IAM Identity Center delegar e impor quais usuários têm acesso somente a login único a um login específico. Contas da AWS em AWS Organizations. Ao habilitar o IAM, uma função vinculada ao serviço é criada em todos os Contas da AWS em sua organização. O IAM Identity Center também cria a mesma função vinculada ao serviço em todas as contas que são adicionadas posteriormente à sua organização. Essa função permite que o IAM Identify Center acesse os recursos de cada conta em seu nome. As funções vinculadas ao serviço que são criados em cada Conta da AWS são chamadas de AWSServiceRoleForSSO. Para ter mais informações, consulte As funções vinculadas ao serviço do IAM Identity Center permanecem..

Política gerenciada pela AWS: AWSIAMIdentityCenterAllowListForIdentityContext

Ao assumir um perfil no contexto de identidades do IAM Identity Center, o AWS Security Token Service (AWS STS) anexa automaticamente a política AWSIAMIdentityCenterAllowListForIdentityContext ao perfil.

Essa política fornece a lista das ações permitidas quando você usa a propagação de identidades confiáveis com perfis que são assumidos com o contexto de identidades do IAM Identity Center. Todas as outras ações são chamadas com esse contexto são bloqueadas. O contexto de identidades é passado como ProvidedContext.

Para visualizar as permissões para essa política, consulte AWSIAMIdentityCenterAllowListForIdentityContext na AWS Managed Policy Reference.

Atualizações do IAM Identity Center a políticas gerenciadas por AWS

A tabela a seguir detalha as atualizações em políticas gerenciadas pela AWS para o IAM Identity Center desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed de RSS na página de Histórico do documento IAM Identity Center.

Alteração	Descrição	Data
AWSIAMIdentityCenterAllowListForIdentityContext	Essa política agora inclui as ações `qapps:ListQAppSessionData` e `qapps:ExportQAppSessionData` para ser compatível com sessões de console com reconhecimento de identidade para as aplicações gerenciadas pela AWS compatíveis com essas sessões.	2 de outubro de 2024
AWSSSOMasterAccountAdministrator	O IAM Identity Center adicionou uma nova ação para conceder permissões de DeleteSyncProfile para que você possa usar essa política para excluir perfis de sincronização. Essa ação é associada à API DeleteInstance.	26 de setembro de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Essa política agora inclui a ação `s3:ListCallerAccessGrants` para ser compatível com as sessões de console com reconhecimento de identidade para aplicações gerenciadas pela AWS compatíveis com essas sessões.	04 de setembro de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Essa política agora inclui as ações `aoss:APIAccessAll`, `es:ESHttpHead`, `es:ESHttpPost`, `es:ESHttpGet`, `es:ESHttpPatch`, `es:ESHttpDelete` e `es:ESHttpPut` para ser compatível com sessões de console com reconhecimento de identidade para as aplicações gerenciadas pela AWS compatíveis com essas sessões.	12 de julho de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Essa política agora inclui as ações `qapps:PredictQApp`, `qapps:ImportDocument`, `qapps:AssociateLibraryItemReview`, `qapps:DisassociateLibraryItemReview`, `qapps:GetQAppSession`, `qapps:UpdateQAppSession`, `qapps:GetQAppSessionMetadata`, `qapps:UpdateQAppSessionMetadata` e `qapps:TagResource` para ser compatível com sessões de console com reconhecimento de identidade para as aplicações gerenciadas pela AWS compatíveis com essas sessões.	27 de junho de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Essa política agora inclui as ações `elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:DescribeCluster`, `elasticmapreduce:CancelSteps`, `elasticmapreduce:DescribeStep` e `elasticmapreduce:ListSteps` para ser compatível com a propagação de identidades confiável no Amazon EMR.	17 de maio de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Essa política agora inclui as ações `qapps:CreateQApp`, `qapps:PredictProblemStatementFromConversation`, `qapps:PredictQAppFromProblemStatement`, `qapps:CopyQApp`, `qapps:GetQApp`, `qapps:ListQApps`, `qapps:UpdateQApp`, `qapps:DeleteQApp`, `qapps:AssociateQAppWithUser`, `qapps:DisassociateQAppFromUser`, `qapps:ImportDocumentToQApp`, `qapps:ImportDocumentToQAppSession`, `qapps:CreateLibraryItem`, `qapps:GetLibraryItem`, `qapps:UpdateLibraryItem`, `qapps:CreateLibraryItemReview`, `qapps:ListLibraryItems`, `qapps:CreateSubscriptionToken`, `qapps:StartQAppSession` e `qapps:StopQAppSession` para ser compatível com sessões de console com reconhecimento de identidade para as aplicações gerenciadas pela AWS compatíveis com essas sessões.	30 de abril de 2024
AWSSSOMasterAccountAdministrator	Essa política agora inclui as ações `signin:CreateTrustedIdentityPropagationApplicationForConsole` e `signin:ListTrustedIdentityPropagationApplicationsForConsole` para ser compatível com sessões de console com reconhecimento de identidade para as aplicações gerenciadas pela AWS compatíveis com essas sessões.	26 de abril de 2024
AWSSSOMemberAccountAdministrator	Essa política agora inclui as ações `signin:CreateTrustedIdentityPropagationApplicationForConsole` e `signin:ListTrustedIdentityPropagationApplicationsForConsole` para ser compatível com sessões de console com reconhecimento de identidade para as aplicações gerenciadas pela AWS compatíveis com essas sessões.	26 de abril de 2024
AWSSSOReadOnly	Essa política agora inclui a ação `signin:ListTrustedIdentityPropagationApplicationsForConsole` para ser compatível com as sessões de console com reconhecimento de identidade para aplicações gerenciadas pela AWS compatíveis com essas sessões.	26 de abril de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Essa política agora inclui a ação `qbusiness:PutFeedback` para ser compatível com as sessões de console com reconhecimento de identidade para aplicações gerenciadas pela AWS compatíveis com essas sessões.	26 de abril de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Essa política agora inclui as ações `q:StartConversation`, `q:SendMessage`, `q:ListConversations`, `q:GetConversation`, `q:StartTroubleshootingAnalysis`, `q:GetTroubleshootingResults`, `q:StartTroubleshootingResolutionExplanation` e `q:UpdateTroubleshootingCommandResult` para ser compatível as com as sessões de console com reconhecimento de identidade para aplicações gerenciadas pela AWScompatíveis com essas sessões.	24 de abril de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Essa política agora inclui a ação `sts:SetContext` para ser compatível com as sessões de console com reconhecimento de identidade para aplicações gerenciadas pela AWS compatíveis com essas sessões.	19 de abril de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Essa política agora inclui as ações `qbusiness:Chat`, `qbusiness:ChatSync`, `qbusiness:ListConversations`, `qbusiness:ListMessages` e `qbusiness:DeleteConversation` para ser compatível com as sessões de console com reconhecimento de identidade para aplicações gerenciadas pela AWS compatíveis com essas sessões.	11 de abril de 2024
AWSIAMIdentityCenterAllowListForIdentityContext	Essa política também inclui as ações `s3:GetAccessGrantsInstanceForPrefix` e `s3:GetDataAccess`.	26 de novembro de 2023
AWSIAMIdentityCenterAllowListForIdentityContext	Essa política fornece a lista das ações permitidas quando você usa a propagação de identidades confiáveis com perfis que são assumidos com o contexto de identidades do IAM Identity Center.	15 de novembro de 2023
AWSSSODirectoryReadOnly	Essa política agora inclui o novo namespace `identitystore-auth` com novas permissões para permitir que os usuários listem e obtenham sessões.	21 de fevereiro de 2023
AWSSSOServiceRolePolicy	Essa política agora permite que a ação `UpdateSAMLProvider` seja tomada na conta de gerenciamento.	20 de outubro de 2022
AWSSSOMasterAccountAdministrator	Essa política agora inclui o novo namespace `identitystore-auth` com novas permissões para permitir que os usuários listem e obtenham sessões.	20 de outubro de 2022
AWSSSOMemberAccountAdministrator	Essa política agora inclui o novo namespace `identitystore-auth` com novas permissões para permitir que os usuários listem e obtenham sessões.	20 de outubro de 2022
AWSSSODirectoryAdministrator	Essa política agora inclui o novo namespace `identitystore-auth` com novas permissões para permitir que os usuários listem e obtenham sessões.	20 de outubro de 2022
AWSSSOMasterAccountAdministrator	Essa política agora inclui novas permissões para chamar `ListDelegatedAdministrators` em AWS Organizations. Essa política agora também inclui um subconjunto de permissões `AWSSSOManageDelegatedAdministrator` que inclui permissões para chamar `RegisterDelegatedAdministrator` e `DeregisterDelegatedAdministrator`.	16 de agosto de 2022
AWSSSOMemberAccountAdministrator	Essa política agora inclui novas permissões para chamar `ListDelegatedAdministrators` em AWS Organizations. Essa política agora também inclui um subconjunto de permissões `AWSSSOManageDelegatedAdministrator` que inclui permissões para chamar `RegisterDelegatedAdministrator` e `DeregisterDelegatedAdministrator`.	16 de agosto de 2022
AWSSSOReadOnly	Essa política agora inclui novas permissões para chamar `ListDelegatedAdministrators` em AWS Organizations.	11 de agosto de 2022
AWSSSOServiceRolePolicy	Essa política agora inclui novas permissões para chamar `DeleteRolePermissionsBoundary` e `PutRolePermisionsBoundary`.	14 de julho de 2022
AWSSSOServiceRolePolicy	Essa política agora inclui novas permissões para chamar `ListAWSServiceAccessForOrganization and ListDelegatedAdministrators` em AWS Organizations.	11 de maio de 2022
AWSSSOMasterAccountAdministrator AWSSSOMemberAccountAdministrator AWSSSOReadOnly	O IAM Access Analyzer adicionou uma nova ação para permitir que a entidade principal use as verificações de política para validação.	28 de abril de 2022
AWSSSOMasterAccountAdministrator	Essa política agora permite todas as ações do serviço IAM Identity Center Identity Store. Para obter informações sobre as ações disponíveis no serviço IAM Identity Center Identity Store, consulte a Referência da API IAM Identity Center Identity Store.	29 de março de 2022
AWSSSOMemberAccountAdministrator	Essa política agora permite todas as ações do serviço IAM Identity Center Identity Store.	29 de março de 2022
AWSSSODirectoryAdministrator	Essa política agora permite todas as ações do serviço IAM Identity Center Identity Store.	29 de março de 2022
AWSSSODirectoryReadOnly	Essa política agora concede acesso às ações de leitura do serviço IAM Identity Center Identity Store. Esse acesso é necessário para recuperar informações de usuários e grupos do serviço IAM Identity Center Identity Store.	29 de março de 2022
AWSIdentitySyncFullAccess	Esta política permite acesso total às permissões de sincronização de identidade.	3 de março de 2022
AWSIdentitySyncReadOnlyAccess	Esta política concede permissões de acesso somente leitura que permitem que uma entidade principal visualize as configurações de sincronização de identidade.	3 de março de 2022
AWSSSOReadOnly	Esta política concede permissões de acesso somente leitura que permitem que uma entidade principal visualize as configurações de sincronização do IAM Identity Center.	4 de agosto de 2021
O IAM Identity Center começou a monitorar as alterações	O IAM Identity Center começou a monitorar as alterações de políticas gerenciadas da AWS.	4 de agosto de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Políticas baseadas em identidade (políticas do IAM)

Usar funções vinculadas ao serviço