Compreender os perfis vinculados ao serviço do IAM Identity Center - AWS IAM Identity Center

Compreender os perfis vinculados ao serviço do IAM Identity Center

Service-linked roles (funções vinculadas a serviços) são permissões predefinidas do IAM que autorizam o IAM Identity Center a determinar e impor quais usuários têm acesso SSO a contas específicas da Contas da AWS na respectiva organização da AWS Organizations. Esse serviço oferece essa funcionalidade por meio do provisionamento de uma função vinculada ao serviço em cada Conta da AWS dentro de sua organização. Desse modo, o serviço permite que outros serviços da AWS, como o IAM Identity Center, aproveitem essas funções para realizar tarefas relacionadas ao serviço. Para obter mais informações, consulte AWS Organizations e funções vinculadas ao serviço.

Quando você ativa o IAM Identity Center, ele cria uma função vinculada ao serviço em todas as contas da organização em AWS Organizations. O IAM Identity Center também cria a mesma função vinculada ao serviço em todas as contas que são adicionadas posteriormente à sua organização. Essa função permite que o IAM Identify Center acesse os recursos de cada conta em seu nome. Para ter mais informações, consulte Acesso do Conta da AWS.

As funções vinculadas ao serviço que são criados em cada Conta da AWS são chamadas de AWSServiceRoleForSSO. Para ter mais informações, consulte As funções vinculadas ao serviço do IAM Identity Center permanecem..

Observações

  • Se você estiver conectado à conta de gerenciamento AWS Organizations, ela usará seu perfil atualmente conectado e não o perfil vinculado ao serviço. Isso evita a escalada de privilégios.

  • Quando o IAM Identity Center realiza qualquer operação do IAM na conta de gerenciamento AWS Organizations, todas as operações acontecem usando as credenciais da entidade principal do IAM. Isso permite que os logs no CloudTrail forneçam visibilidade de quem fez todas as alterações de privilégios na conta de gerenciamento.