AWS IAM Identity Center 的操作、资源和条件键(AWS Single Sign-On 的后继者) - 服务授权参考

AWS IAM Identity Center 的操作、资源和条件键(AWS Single Sign-On 的后继者)

AWS IAM Identity Center(AWS Single Sign-On 的后继者)(服务前缀:sso)提供以下服务特定资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

由 AWS IAM Identity Center(AWS Single Sign-On 的后继者)定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AssociateDirectory 授予权限以连接 AWS IAM Identity Center 所使用的目录 写入

ds:AuthorizeApplication

AssociateProfile 授予权限以在目录用户或组与配置文件之间创建关联 写入
AttachCustomerManagedPolicyReferenceToPermissionSet 授予权限以将客户管理型策略参考附加到权限集 权限管理

Instance*

PermissionSet*

AttachManagedPolicyToPermissionSet 授予权限以将 AWS 托管策略附加到权限集 权限管理

Instance*

PermissionSet*

CreateAccountAssignment 授予权限以使用指定的权限集为指定 AWS 账户 的主体分配访问权限 写入

Account*

Instance*

PermissionSet*

CreateApplication 授予创建应用程序的权限 写入

ApplicationProvider*

Instance*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateApplicationAssignment 授予创建应用程序分配的权限 写入

Application*

sso:ApplicationAccount

CreateApplicationInstance 授予权限以将应用程序实例添加到 AWS IAM Identity Center 写入
CreateApplicationInstanceCertificate 授予权限以为应用程序实例添加新证书 写入
CreateInstance 授予创建 Identity Center 实例的权限 写入

Instance*

iam:CreateServiceLinkedRole

organizations:DescribeOrganization

aws:RequestTag/${TagKey}

aws:TagKeys

CreateInstanceAccessControlAttributeConfiguration 授予为 ABAC 启用实例并指定属性的权限 写入

Instance*

iam:AttachRolePolicy

iam:CreateRole

iam:DeleteRole

iam:DeleteRolePolicy

iam:DetachRolePolicy

iam:GetRole

iam:ListAttachedRolePolicies

iam:ListRolePolicies

iam:PutRolePolicy

iam:UpdateAssumeRolePolicy

CreateManagedApplicationInstance 授予权限以将托管应用程序实例添加到 AWS IAM Identity Center 写入
CreatePermissionSet 授予权限以创建权限集 Write

Instance*

PermissionSet*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProfile 授予权限以为应用程序实例创建配置文件 Write
CreateTrust 授予权限以在目标账户中创建联合信任 写入
CreateTrustedTokenIssuer 授予为实例创建可信令牌颁发机构的权限 写入

Instance*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAccountAssignment 授予权限以使用指定的权限集从指定 AWS 账户 删除主体的访问权限 写入

Account*

Instance*

PermissionSet*

DeleteApplication 授予删除应用程序的权限 写入

Application*

sso:ApplicationAccount

DeleteApplicationAccessScope 授予删除应用程序的访问范围的权限 写入

Application*

sso:ApplicationAccount

DeleteApplicationAssignment 授予删除应用程序分配的权限 写入

Application*

sso:ApplicationAccount

DeleteApplicationAuthenticationMethod 授予删除应用程序的身份验证方法的权限 写入

Application*

sso:ApplicationAccount

DeleteApplicationGrant 授予删除来自应用程序的授权的权限 写入

Application*

sso:ApplicationAccount

DeleteApplicationInstance 授予权限以删除应用程序实例 Write
DeleteApplicationInstanceCertificate 授予权限以删除应用程序实例的停用或过期证书 写入
DeleteInlinePolicyFromPermissionSet 授予权限以从指定权限集中删除内联策略 写入

Instance*

PermissionSet*

DeleteInstance 授予删除 Identity Center 实例的权限 写入

Instance*

DeleteInstanceAccessControlAttributeConfiguration 授予禁用 ABAC 并删除实例属性列表的权限 Write

Instance*

DeleteManagedApplicationInstance 授予权限以删除托管应用程序实例 Write
DeletePermissionSet 授予权限以删除权限集 写入

Instance*

PermissionSet*

DeletePermissionsBoundaryFromPermissionSet 授予权限以从权限集中删除权限边界 权限管理

Instance*

PermissionSet*

DeletePermissionsPolicy 授予权限以删除与权限集关联的权限策略 Permissions management
DeleteProfile 授予权限以删除应用程序实例的配置文件 写入
DeleteTrustedTokenIssuer 授予删除实例的可信令牌颁发机构的权限 写入

TrustedTokenIssuer*

DescribeAccountAssignmentCreationStatus 授予权限以描述分配创建请求的状态 读取

Instance*

DescribeAccountAssignmentDeletionStatus 授予权限以描述分配删除请求的状态 读取

Instance*

DescribeApplication 授予获取应用程序信息的权限 读取

Application*

sso:ApplicationAccount

DescribeApplicationAssignment 授予检索应用程序分配的权限 读取

Application*

sso:ApplicationAccount

DescribeApplicationProvider 授予描述应用程序提供者的权限 读取

ApplicationProvider*

DescribeDirectories 授予获取此账户的目录相关信息的权限 读取
DescribeInstance 授予获取 Identity Center 实例信息的权限 读取

Instance*

DescribeInstanceAccessControlAttributeConfiguration 授予获取用于 ABAC 实例的属性列表的权限 Read

Instance*

DescribePermissionSet 授予权限以描述权限集 读取

Instance*

PermissionSet*

DescribePermissionSetProvisioningStatus 授予权限以描述给定权限集预置请求的状态 读取

Instance*

DescribePermissionsPolicies 授予权限以检索与某一权限集合关联的所有权限策略 读取
DescribeRegisteredRegions 授予权限以获取您组织已启用 AWS IAM Identity Center 的区域 读取
DescribeTrustedTokenIssuer 授予描述实例的可信令牌颁发机构的权限 读取

TrustedTokenIssuer*

DescribeTrusts 授予获取此账户的信任关系的相关信息的权限 读取
DetachCustomerManagedPolicyReferenceFromPermissionSet 授予权限以将客户管理型策略参考从权限集分离 权限管理

Instance*

PermissionSet*

DetachManagedPolicyFromPermissionSet 授予权限以从指定的权限集中分离附加的 AWS 托管策略 权限管理

Instance*

PermissionSet*

DisassociateDirectory 授予权限以取消关联 AWS IAM Identity Center 要使用的目录 写入

ds:UnauthorizeApplication

DisassociateProfile 授予权限以取消目录用户或组与配置文件的关联 写入
GetApplicationAccessScope 授予获取应用程序的访问范围的权限 读取

Application*

sso:ApplicationAccount

GetApplicationAssignmentConfiguration 授予读取应用程序的分配配置的权限 读取

Application*

sso:ApplicationAccount

GetApplicationAuthenticationMethod 授予获取应用程序的身份验证方法的权限 读取

Application*

sso:ApplicationAccount

GetApplicationGrant 授予获取属于应用程序的授权的详细信息的权限 读取

Application*

sso:ApplicationAccount

GetApplicationInstance 授予权限以检索应用程序实例的详细信息 Read
GetApplicationTemplate 授予权限以检索应用程序模板详细信息 读取
GetInlinePolicyForPermissionSet 授予权限以获取分配给权限集的内联策略 读取

Instance*

PermissionSet*

GetManagedApplicationInstance 授予权限以检索应用程序实例的详细信息 Read
GetMfaDeviceManagementForDirectory 授予权限以检索目录的 MFA 设备管理设置 Read
GetPermissionSet 授予权限以检索权限集的详细信息 读取
GetPermissionsBoundaryForPermissionSet 授予权限以获取权限集的权限边界 读取

Instance*

PermissionSet*

GetPermissionsPolicy 授予权限以检索与权限集关联的所有权限策略 Read

sso:DescribePermissionsPolicies

GetProfile 授予权限以检索应用程序实例的配置文件 读取
GetSSOStatus 授予权限以检查是否已启用 AWS IAM Identity Center 读取
GetSharedSsoConfiguration 授予权限以检索当前 SSO 实例的共享配置 Read
GetSsoConfiguration 授予权限以检索当前 SSO 实例的配置 Read
GetTrust 授予权限以检索目标账户中的联合信任 Read
ImportApplicationInstanceServiceProviderMetadata 授予权限以上传服务提供商提供的应用程序 SAML 元数据文件,从而更新应用程序实例 写入
ListAccountAssignmentCreationStatus 授予权限以列出指定 SSO 实例的 AWS 账户 分配创建请求的状态 列出

Instance*

ListAccountAssignmentDeletionStatus 授予权限以列出指定 SSO 实例的 AWS 账户 分配删除请求的状态 列出

Instance*

ListAccountAssignments 授予权限以列出具有指定权限集的指定 AWS 账户 的受让人 列出

Account*

Instance*

PermissionSet*

ListAccountAssignmentsForPrincipal 授予列出分配给用户或组的账户的权限 列出

Instance*

ListAccountsForProvisionedPermissionSet 授予权限以列出预置指定权限集的所有 AWS 账户 列出

Instance*

PermissionSet*

ListApplicationAccessScopes 授予列出应用程序的访问范围的权限 列出

Application*

sso:ApplicationAccount

ListApplicationAssignments 授予列出应用程序分配的权限 列出

Application*

sso:ApplicationAccount

ListApplicationAssignmentsForPrincipal 授予列出分配给用户或组的应用程序的权限 列出

Instance*

sso:ApplicationAccount

ListApplicationAuthenticationMethods 授予列出应用程序的身份验证方法的权限 列出

Application*

sso:ApplicationAccount

ListApplicationGrants 授予列出来自应用程序的授权的权限 列出

Application*

sso:ApplicationAccount

ListApplicationInstanceCertificates 授予权限以检索给定应用程序实例的所有证书 Read
ListApplicationInstances 授权权限以检索所有应用程序实例 列出

sso:GetApplicationInstance

ListApplicationProviders 授予列出应用程序提供者的权限 列出

ApplicationProvider*

ListApplicationTemplates 授予权限以检索所有支持的应用程序模板 列出

sso:GetApplicationTemplate

ListApplications 授予检索与 IAM Identity Center 实例关联的所有应用程序的权限 列出
ListCustomerManagedPolicyReferencesInPermissionSet 授予权限以列出附加到权限集的客户管理型策略参考 列出

Instance*

PermissionSet*

ListDirectoryAssociations 授予权限以检索与 AWS IAM Identity Center 连接的目录的相关详细信息 读取
ListInstances 授予权限以列出发起人有权访问的 SSO 实例 列出
ListManagedPoliciesInPermissionSet 授予权限以列出附加到指定权限集的 AWS 托管策略 列出

Instance*

PermissionSet*

ListPermissionSetProvisioningStatus 授予权限以列出指定 SSO 实例的权限集预置请求的状态 列出

Instance*

ListPermissionSets 授予权限以检索所有权限集 列出

Instance*

ListPermissionSetsProvisionedToAccount 授予权限以列出预置到指定 AWS 账户 的所有权限集 列出

Account*

Instance*

ListProfileAssociations 授予权限以检索与配置文件关联的目录用户或组 Read
ListProfiles 授予权限以检索应用程序实例的所有配置文件 列出

sso:GetProfile

ListTagsForResource 授予权限以列出附加到指定资源的标签 读取

Application

Instance

PermissionSet

TrustedTokenIssuer

ListTrustedTokenIssuers 授予列出实例的可信令牌颁发机构的权限 列出

Instance*

ProvisionPermissionSet 授予权限以将指定权限集预置到指定目标 写入

Account*

Instance*

PermissionSet*

PutApplicationAccessScope 授予创建/更新应用程序的访问范围的权限 写入

Application*

sso:ApplicationAccount

PutApplicationAssignmentConfiguration 授予向应用程序添加分配配置的权限 写入

Application*

sso:ApplicationAccount

PutApplicationAuthenticationMethod 授予创建/更新应用程序的身份验证方法的权限 写入

Application*

sso:ApplicationAccount

PutApplicationGrant 授予创建/更新对应用程序的授权的权限 写入

Application*

sso:ApplicationAccount

PutInlinePolicyToPermissionSet 授予权限以将 IAM 内联策略附加到权限集 写入

Instance*

PermissionSet*

PutMfaDeviceManagementForDirectory 授予权限以为目录附加 MFA 设备管理设置 写入
PutPermissionsBoundaryToPermissionSet 授予权限以将权限边界添加到权限集 权限管理

Instance*

PermissionSet*

PutPermissionsPolicy 授予权限以将策略添加到权限集 Permissions management
SearchGroups 授予权限以在关联的目录中搜索组 Read

ds:DescribeDirectories

SearchUsers 授予权限以在关联的目录中搜索用户 读取

ds:DescribeDirectories

StartSSO 授予权限以初始化 AWS IAM Identity Center 写入

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

TagResource 授予权限以将一组标签与指定资源关联 标记

Application

Instance

PermissionSet

TrustedTokenIssuer

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 授予权限以取消一组标签与指定资源的关联 标记

Application

Instance

PermissionSet

TrustedTokenIssuer

aws:TagKeys

UpdateApplication 授予更新应用程序的权限 写入

Application*

sso:ApplicationAccount

UpdateApplicationInstanceActiveCertificate 授予权限以为此应用程序实例设置证书,作为活动证书 Write
UpdateApplicationInstanceDisplayData 授予权限以更新应用程序实例的显示数据 Write
UpdateApplicationInstanceResponseConfiguration 授予权限以更新应用程序实例的联合响应配置 Write
UpdateApplicationInstanceResponseSchemaConfiguration 授予权限以更新应用程序实例的联合响应架构配置 Write
UpdateApplicationInstanceSecurityConfiguration 授予权限以更新应用程序实例的安全详细信息 Write
UpdateApplicationInstanceServiceProviderConfiguration 授予权限以更新应用程序实例的服务提供商关联配置 Write
UpdateApplicationInstanceStatus 授予权限以更新应用程序实例的状态 Write
UpdateDirectoryAssociation 授予权限以更新连接目录的用户属性映射 写入
UpdateInstance 授予更新 Identity Center 实例的权限 写入

Instance*

UpdateInstanceAccessControlAttributeConfiguration 授予更新用于 ABAC 实例的属性的权限 Write

Instance*

UpdateManagedApplicationInstanceStatus 授予权限以更新托管应用程序的实例状态 写入
UpdatePermissionSet 授予权限以更新权限集 权限管理

Instance*

PermissionSet*

UpdateProfile 授予权限以更新应用程序实例的配置文件 Write
UpdateSSOConfiguration 授予权限以更新当前 SSO 实例的配置 Write
UpdateTrust 授予权限以更新目标账户中的联合信任 写入
UpdateTrustedTokenIssuer 授予更新实例的可信令牌颁发机构的权限 写入

TrustedTokenIssuer*

由 AWS IAM Identity Center(AWS Single Sign-On 的后继者)定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
PermissionSet arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}

aws:ResourceTag/${TagKey}

Account arn:${Partition}:sso:::account/${AccountId}
Instance arn:${Partition}:sso:::instance/${InstanceId}

aws:ResourceTag/${TagKey}

Application arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}

aws:ResourceTag/${TagKey}

sso:ApplicationAccount

TrustedTokenIssuer arn:${Partition}:sso::${AccountId}:trustedTokenIssuer/${InstanceId}/${TrustedTokenIssuerId}

aws:ResourceTag/${TagKey}

ApplicationProvider arn:${Partition}:sso::aws:applicationProvider/${ApplicationProviderId}

AWS IAM Identity Center(AWS Single Sign-On 的后继者)的条件键

AWS IAM Identity Center(AWS Single Sign-On的后继者)定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 按请求中传递的标签筛选访问权限 String
aws:ResourceTag/${TagKey} 按与资源关联的标签筛选访问权限 String
aws:TagKeys 按请求中传递的标签键筛选访问权限 字符串数组
sso:ApplicationAccount 按创建应用程序的账户筛选访问权限 String