As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando funções vinculadas a serviços para IAM o Identity Center
AWS IAM Identity Center usa AWS Identity and Access Management (IAM) funções vinculadas ao serviço. Uma função vinculada ao serviço é um tipo exclusivo de IAM função vinculada diretamente ao IAM Identity Center. Ele é predefinido pelo IAM Identity Center e inclui todas as permissões que o serviço exige para ligar para outros AWS serviços em seu nome. Para obter mais informações, consulte Entendendo as funções vinculadas a serviços no Identity Center IAM.
Uma função vinculada ao serviço facilita a configuração do IAM Identity Center porque você não precisa adicionar manualmente as permissões necessárias. IAMO Identity Center define as permissões de sua função vinculada ao serviço e, a menos que seja definido de outra forma, somente o IAM Identity Center pode assumir sua função. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra IAM entidade.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS Serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.
Permissões de função vinculadas ao serviço para IAM o Identity Center
IAMO Identity Center usa a função vinculada ao serviço nomeada AWSServiceRoleForSSOpara conceder permissões ao IAM Identity Center para gerenciar AWS recursos, incluindo IAM funções, políticas e IdP em seu nomeSAML.
A função AWSServiceRoleForSSO vinculada ao serviço confia nos seguintes serviços para assumir a função:
-
IAMIdentity Center (prefixo do serviço:
sso)
A política de permissões AWSServiceRoleForSSO de função vinculada ao serviço permite que o IAM Identity Center conclua o seguinte em funções no caminho “/aws-reserved/sso.amazonaws.com/” e com o prefixo do nome “_”: AWSReservedSSO
-
iam:AttachRolePolicy -
iam:CreateRole -
iam:DeleteRole -
iam:DeleteRolePermissionsBoundary -
iam:DeleteRolePolicy -
iam:DetachRolePolicy -
iam:GetRole -
iam:ListRolePolicies -
iam:PutRolePolicy -
iam:PutRolePermissionsBoundary -
iam:ListAttachedRolePolicies
A política de permissões AWSServiceRoleForSSO de função vinculada ao serviço permite que o IAM Identity Center conclua o seguinte em SAML provedores com o prefixo de nome “_”: AWSSSO
-
iam:CreateSAMLProvider -
iam:GetSAMLProvider -
iam:UpdateSAMLProvider -
iam:DeleteSAMLProvider
A política de permissões AWSServiceRoleForSSO de funções vinculadas ao serviço permite que o IAM Identity Center conclua o seguinte em todas as organizações:
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
A política de permissões AWSServiceRoleForSSO de função vinculada ao serviço permite que o IAM Identity Center conclua o seguinte em todas as IAM funções (*):
-
iam:listRoles
A política de permissões AWSServiceRoleForSSO de funções vinculadas ao serviço permite que o IAM Identity Center conclua o seguinte em “arn:aws:iam: :*:”: role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO
-
iam:GetServiceLinkedRoleDeletionStatus -
iam:DeleteServiceLinkedRole
A política de permissões de função permite que o IAM Identity Center conclua as seguintes ações nos recursos.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }
Você deve configurar permissões para permitir que uma IAM entidade (como um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de funções vinculadas ao serviço no Guia do IAMusuário.
Criação de uma função vinculada ao serviço para o Identity Center IAM
Não é necessário criar manualmente uma função vinculada ao serviço. Depois de ativado, o IAM Identity Center cria uma função vinculada ao serviço em todas as contas da organização no Organizations AWS . IAMO Identity Center também cria a mesma função vinculada ao serviço em todas as contas que são adicionadas posteriormente à sua organização. Essa função permite que o IAM Identity Center acesse os recursos de cada conta em seu nome.
Observações
-
Se você estiver conectado à conta AWS Organizations de gerenciamento, ela usará sua função atualmente conectada e não a função vinculada ao serviço. Isso evita a escalada de privilégios.
-
Quando o IAM Identity Center realiza qualquer IAM operação na conta AWS Organizations de gerenciamento, todas as operações acontecem usando as credenciais do IAM diretor. Isso permite que os logins CloudTrail forneçam visibilidade de quem fez todas as alterações de privilégios na conta de gerenciamento.
Importante
Se você estava usando o serviço IAM Identity Center antes de 7 de dezembro de 2017, quando ele começou a oferecer suporte a funções vinculadas ao serviço, o IAM Identity Center criou a AWSServiceRoleForSSO função em sua conta. Para saber mais, consulte Uma nova função apareceu em Minha IAM conta.
Se você excluir essa função vinculada a serviço e depois precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta.
Editando uma função vinculada ao serviço para IAM o Identity Center
IAMO Identity Center não permite que você edite a função AWSServiceRoleForSSO vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte Edição de uma função vinculada ao serviço no Guia do IAMusuário.
Excluindo uma função vinculada ao serviço para o Identity Center IAM
Você não precisa excluir manualmente a AWSServiceRoleForSSO função. Quando um Conta da AWS é removido de uma AWS organização, o IAM Identity Center limpa automaticamente os recursos e exclui a função vinculada ao serviço. Conta da AWS
Você também pode usar o IAM console IAMCLI, o ou o IAM API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
nota
Se o serviço IAM Identity Center estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir os recursos do IAM Identity Center usados pelo AWSServiceRoleForSSO
-
Remover o acesso de usuários e grupos a um Conta da AWS para todos os usuários e grupos que têm acesso a Conta da AWS.
-
Excluir conjuntos de permissões no IAM Identity Center que você associou a Conta da AWS.
Para excluir manualmente a função vinculada ao serviço usando IAM
Use o IAM console IAMCLI, o ou o IAM API para excluir a função AWSServiceRoleForSSO vinculada ao serviço. Para obter mais informações, consulte Excluindo uma função vinculada ao serviço no Guia do IAM usuário.
