IAM Identity Center 的 AWS 管理型策略
要创建 IAM 客户管理型策略以仅向您的团队提供他们所需的权限,需要时间和专业知识。要快速入门,您可以使用 AWS 管理型策略。这些策略涵盖常见使用案例,可在您的 AWS 账户 中使用。有关 AWS 托管策略的更多信息,请参阅《IAM 用户指南》中的AWS 托管策略。
AWS 服务负责维护和更新 AWS 管理型策略。您无法更改 AWS 管理型策略中的权限。服务偶尔会向 AWS 管理型策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 管理型策略。服务不会从 AWS 管理型策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,AWS 还支持跨多种服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 管理型策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 AWS 管理型策略。
新命名空间 identitystore-auth 下提供了允许您列出和删除用户会话的新操作。此命名空间中的任何其他操作权限都将在此页面上更新。创建自定义 IAM 策略时,请避免在 identitystore-auth 后使用 *,因为这适用于当前或将来命名空间中存在的所有操作。
AWS 管理型策略:AWSSSOMasterAccountAdministrator
AWSSSOMasterAccountAdministrator 策略向主体提供所需的管理操作。该策略适用于执行 AWS IAM Identity Center 管理员工作角色的主体。随着时间的推移,所提供的操作列表将会更新,以匹配 IAM Identity Center 的现有功能以及管理员所需的操作。
您可以将 AWSSSOMasterAccountAdministrator 策略附加到 IAM 身份。当您将 AWSSSOMasterAccountAdministrator 策略附加到身份时,您就授予了管理 AWS IAM Identity Center 权限。具有此策略的主体可以访问 AWS Organizations 管理帐户和所有成员帐户内的 IAM Identity Center。该主体可以完全管理所有 IAM Identity Center 操作,包括创建 IAM Identity Center 实例、用户、权限集和分配的能力。委托人还可以在整个 AWS 组织成员帐户中实例化这些分配,并在 AWS Directory Service 托管目录和 IAM Identity Center 之间建立连接。随着新管理功能的发布,帐户管理员将自动获得这些权限。
权限分组
此策略根据提供的权限集分为多个语句。
-
AWSSSOMasterAccountAdministrator——允许 IAM Identity Center 将命名为AWSServiceRoleforSSO的服务角色传递给 IAM Identity Center,以便稍后可以代入该角色并代表他们执行操作。当个人或应用程序尝试启用 IAM Identity Center 时,这是必要的。有关更多信息,请参阅 AWS 账户 访问。 -
AWSSSOMemberAccountAdministrator——允许 IAM Identity Center 在多帐户 AWS 环境中执行帐户管理员操作。有关更多信息,请参阅 AWS 管理型策略:AWSSSOMemberAccountAdministrator。 -
AWSSSOManageDelegatedAdministrator——允许 IAM Identity Center 为您的组织注册和取消注册委派管理员。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 AWSSSOMasterAccountAdministrator。
有关此策略的其他信息
首次启用 IAM Identity Center 时,IAM Identity Center 服务会在 AWS Organizations 管理帐户(以前称为主帐户)中创建服务相关角色,以便 IAM Identity Center 可以管理您帐户中的资源。所需的操作是 iam:CreateServiceLinkedRole 和 iam:PassRole,如以下代码片段所示。
{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "AWSSSOCreateSLR", "Effect" : "Allow", "Action" : "iam:CreateServiceLinkedRole", "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO", "Condition" : { "StringLike" : { "iam:AWSServiceName" : "sso.amazonaws.com" } } }, { "Sid" : "AWSSSOMasterAccountAdministrator", "Effect" : "Allow", "Action" : "iam:PassRole", "Resource" : "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO", "Condition" : { "StringLike" : { "iam:PassedToService" : "sso.amazonaws.com" } } }, { "Sid" : "AWSSSOMemberAccountAdministrator", "Effect" : "Allow", "Action" : [ "ds:DescribeTrusts", "ds:UnauthorizeApplication", "ds:DescribeDirectories", "ds:AuthorizeApplication", "iam:ListPolicies", "organizations:EnableAWSServiceAccess", "organizations:ListRoots", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:DescribeOrganization", "organizations:ListChildren", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListDelegatedAdministrators", "sso:*", "sso-directory:*", "identitystore:*", "identitystore-auth:*", "ds:CreateAlias", "access-analyzer:ValidatePolicy", "signin:CreateTrustedIdentityPropagationApplicationForConsole", "signin:ListTrustedIdentityPropagationApplicationsForConsole" ], "Resource" : "*" }, { "Sid" : "AWSSSOManageDelegatedAdministrator", "Effect" : "Allow", "Action" : [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource" : "*", "Condition" : { "StringEquals" : { "organizations:ServicePrincipal" : "sso.amazonaws.com" } } }, { "Sid": "AllowDeleteSyncProfile", "Effect": "Allow", "Action": [ "identity-sync:DeleteSyncProfile" ], "Resource": [ "arn:aws:identity-sync:*:*:profile/*" ] } ] }
AWS 管理型策略:AWSSSOMemberAccountAdministrator
AWSSSOMemberAccountAdministrator 策略向主体提供所需的管理操作。该策略适用于执行 IAM Identity Center 管理员工作角色的主体。随着时间的推移,所提供的操作列表将会更新,以匹配 IAM Identity Center 的现有功能以及管理员所需的操作。
您可以将 AWSSSOMemberAccountAdministrator 策略附加到 IAM 身份。当您将 AWSSSOMemberAccountAdministrator 策略附加到身份时,您就授予了管理 AWS IAM Identity Center 权限。具有此策略的主体可以访问 AWS Organizations 管理帐户和所有成员帐户内的 IAM Identity Center。该主体可以完全管理所有 IAM Identity Center 操作,包括创建用户、权限集和分配的能力。委托人还可以在整个 AWS 组织成员帐户中实例化这些分配,并在 AWS Directory Service 托管目录和 IAM Identity Center 之间建立连接。随着新管理功能的发布,帐户管理员自动获得这些权限。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 AWSSSOMemberAccountAdministrator。
有关此策略的其他信息
IAM Identity Center 管理员管理其 Identity Center 目录存储(sso 目录)中的用户、组和密码。帐户管理员角色包括以下操作的权限:
-
"sso:*" -
"sso-directory:*"
IAM Identity Center 管理员需要具有以下 AWS Directory Service 操作的有限权限才能执行日常任务。
-
"ds:DescribeTrusts" -
"ds:UnauthorizeApplication" -
"ds:DescribeDirectories" -
"ds:AuthorizeApplication" -
“ds:CreateAlias”
这些权限允许 IAM Identity Center 管理员识别现有目录并管理应用程序,以便可以将它们配置为与 IAM Identity Center 一起使用。有关每个操作的更多信息,请参阅 AWS Directory Service API 权限:操作、资源和条件参考。
IAM Identity Center 使用 IAM 策略向 IAM Identity Center 用户授予权限。IAM Identity Center 管理员创建权限集并向其附加策略。IAM Identity Center 管理员必须有权列出现有策略,以便他们可以选择将哪些策略与他们正在创建或更新的权限集一起使用。要设置安全和功能权限,IAM Identity Center 管理员必须有权运行 IAM Access Analyzer 策略验证。
-
"iam:ListPolicies" -
"access-analyzer:ValidatePolicy"
IAM Identity Center 管理员需要对以下 AWS Organizations 操作进行有限访问才能执行日常任务:
-
"organizations:EnableAWSServiceAccess" -
"organizations:ListRoots" -
"organizations:ListAccounts" -
"organizations:ListOrganizationalUnitsForParent" -
"organizations:ListAccountsForParent" -
"organizations:DescribeOrganization" -
"organizations:ListChildren" -
"organizations:DescribeAccount" -
"organizations:ListParents" -
"organizations:ListDelegatedAdministrators" -
"organizations:RegisterDelegatedAdministrator" -
"organizations:DeregisterDelegatedAdministrator"
这些权限使 IAM Identity Center 管理员能够使用组织资源(帐户)来执行基本 IAM Identity Center 管理任务,如下所示:
-
识别属于组织的管理帐户
-
识别属于组织的成员帐户
-
启用帐户的 AWS 服务访问
-
设置和管理委派管理员
有关通过 IAM Identity Center 使用委派管理员的更多信息,请参阅 委派管理。有关如何与 AWS Organizations 一起使用这些权限的更多信息,请参阅 将 AWS Organizations 与其他 AWS 服务一起使用。
AWS 管理型策略:AWSSSODirectoryAdministrator
您可以将 AWSSSODirectoryAdministrator 策略附加到 IAM 身份。
此策略授予对 IAM Identity Center 用户和组的管理权限。附加此策略的主体可以对 IAM Identity Center 用户和组进行任何更新。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 AWSSSODirectoryAdministrator。
AWS 管理型策略:AWSSSOReadOnly
您可以将 AWSSSOReadOnly 策略附加到 IAM 身份。
此策略授予只读权限,允许用户查看 IAM Identity Center 中的信息。附加此策略的主体无法直接查看 IAM Identity Center 用户或组。附加此策略的主体无法在 IAM Identity Center 中进行任何更新。例如,具有这些权限的主体可以查看 IAM Identity Center 设置,但无法更改任何设置值。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 AWSSSOReadOnly。
AWS 管理型策略:AWSSSODirectoryReadOnly
您可以将 AWSSSODirectoryReadOnly 策略附加到 IAM 身份。
此策略授予只读权限,允许用户查看 IAM Identity Center 中的用户和组。附加此策略的主体无法查看 IAM Identity Center 分配、权限集、应用程序或设置。附加此策略的主体无法在 IAM Identity Center 中进行任何更新。例如,具有这些权限的主体可以查看 IAM Identity Center 用户,但他们无法更改任何用户属性或分配 MFA 设备。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 AWSSSODirectoryReadOnly。
AWS 管理型策略:AWSIdentitySyncFullAccess
您可以将 AWSIdentitySyncFullAccess 策略附加到 IAM 身份。
附加此策略的主体拥有完全访问权限,可以创建和删除同步配置文件、将同步配置文件与同步目标关联或更新、创建、列出和删除同步筛选条件以及启动或停止同步。
权限详细信息
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 AWSIdentitySyncFullAccess。
AWS 管理型策略:AWSIdentitySyncReadOnlyAccess
您可以将 AWSIdentitySyncReadOnlyAccess 策略附加到 IAM 身份。
此策略授予只读权限,允许用户查看有关身份同步配置文件、筛选条件和目标设置的信息。附加此策略的主体无法对同步设置进行任何更新。例如,具有这些权限的主体可以查看身份同步设置,但无法更改任何配置文件或筛选条件值。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 AWSIdentitySyncReadOnlyAccess。
AWS 管理型策略:AWSSSOServiceRolePolicy
您不可以将 AWSSSOServiceRolePolicy 策略附加得到 IAM 身份。
此策略附加到服务相关角色,该角色允许 IAM Identity Center 委派和强制哪些用户对 AWS Organizations 中的特定 AWS 账户 具有单点登录访问权限。当您启用 IAM 时,将在组织内的所有 AWS 账户 中创建服务相关角色。IAM Identity Center 还会在随后添加到您的组织的每个帐户中创建相同的服务相关角色。此角色允许 IAM Identity Center 代表您访问每个帐户的资源。在每个 AWS 账户 中创建的服务相关角色被命名为 AWSServiceRoleForSSO。有关更多信息,请参阅 使用 IAM Identity Center 的服务相关角色。
AWS 托管策略:AWSIAMIdentityCenterAllowListForIdentityContext
在 IAM Identity Center 身份上下文中担任角色时,AWS Security Token Service (AWS STS) 会自动将 AWSIAMIdentityCenterAllowListForIdentityContext 策略附加到该角色。
此策略提供了当您对在 IAM Identity Center 身份上下文中担任的角色使用可信身份传播时,所允许的操作列表。在此上下文中调用的所有其他操作都将被阻止。身份上下文作为 ProvidedContext 传递。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 AWSIAMIdentityCenterAllowListForIdentityContext。
IAM Identity Center 更新 AWS 管理型策略
下表描述了自 IAM Identity Center 服务开始跟踪这些更改以来对 AWS 管理型策略的更新。有关此页面更改的自动提示,请订阅 IAM Identity Center 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
| AWSIAMIdentityCenterAllowListForIdentityContext |
为支持身份感知控制台会话,供支持这些会话的 AWS 托管应用程序使用,此策略现在包括 |
2024 年 10 月 2 日 |
| AWSSSOMasterAccountAdministrator |
IAM Identity Center 添加了一个新操作来授予 DeleteSyncProfile 权限,让您可以使用此策略删除同步配置文件。此操作与 DeleteInstance API 关联。 |
2024 年 9 月 26 日 |
| AWSIAMIdentityCenterAllowListForIdentityContext |
为支持身份感知控制台会话,供支持这些会话的 AWS 托管应用程序使用,此策略现在包括 |
2024 年 9 月 4 日 |
| AWSIAMIdentityCenterAllowListForIdentityContext |
为支持身份感知控制台会话,供支持这些会话的 AWS 托管应用程序使用,此策略现在包括 |
2024 年 7 月 12 日 |
| AWSIAMIdentityCenterAllowListForIdentityContext |
为支持身份感知控制台会话,供支持这些会话的 AWS 托管应用程序使用,此策略现在包括 |
2024 年 6 月 27 日 |
| AWSIAMIdentityCenterAllowListForIdentityContext |
为支持 Amazon EMR 中的可信身份传播,此策略现在包括 |
2024 年 5 月 17 日 |
| AWSIAMIdentityCenterAllowListForIdentityContext |
为支持身份感知控制台会话,供支持这些会话的 AWS 托管应用程序使用,此策略现在包括 |
2024 年 4 月 30 日 |
| AWSSSOMasterAccountAdministrator |
为支持身份感知控制台会话,供支持这些会话的 AWS 托管应用程序使用,此策略现在包括 |
2024 年 4 月 26 日 |
| AWSSSOMemberAccountAdministrator |
为支持身份感知控制台会话,供支持这些会话的 AWS 托管应用程序使用,此策略现在包括 |
2024 年 4 月 26 日 |
| AWSSSOReadOnly |
为支持身份感知控制台会话,供支持这些会话的 AWS 托管应用程序使用,此策略现在包括 |
2024 年 4 月 26 日 |
| AWSIAMIdentityCenterAllowListForIdentityContext |
为支持身份感知控制台会话,供支持这些会话的 AWS 托管应用程序使用,此策略现在包括 |
2024 年 4 月 26 日 |
| AWSIAMIdentityCenterAllowListForIdentityContext |
为支持身份感知控制台会话,供支持这些会话的 AWS 托管应用程序使用,此策略现在包括 |
2024 年 4 月 24 日 |
| AWSIAMIdentityCenterAllowListForIdentityContext |
为支持身份感知控制台会话,供支持这些会话的 AWS 托管应用程序使用,此策略现在包括 |
2024 年 4 月 19 日 |
| AWSIAMIdentityCenterAllowListForIdentityContext |
为支持身份感知控制台会话,供支持这些会话的 AWS 托管应用程序使用,此策略现在包括 |
2024 年 4 月 11 日 |
| AWSIAMIdentityCenterAllowListForIdentityContext |
此策略现在包括 |
2023 年 11 月 26 日 |
| AWSIAMIdentityCenterAllowListForIdentityContext |
此策略提供了当您对在 IAM Identity Center 身份上下文中担任的角色使用可信身份传播时,所允许的操作列表。 |
2023 年 11 月 15 日 |
| AWSSSODirectoryReadOnly |
此策略现在包括具有新权限的新命名空间 |
2023 年 2 月 21 日 |
| AWSSSOServiceRolePolicy |
此策略现在允许对管理帐户执行 |
2022 年 10 月 20 日 |
| AWSSSOMasterAccountAdministrator |
此策略现在包括具有新权限的新命名空间 |
2022 年 10 月 20 日 |
| AWSSSOMemberAccountAdministrator |
此策略现在包括具有新权限的新命名空间 |
2022 年 10 月 20 日 |
| AWSSSODirectoryAdministrator |
此策略现在包括具有新权限的新命名空间 |
2022 年 10 月 20 日 |
| AWSSSOMasterAccountAdministrator |
此策略现在包含在 |
2022 年 8 月 16 日 |
| AWSSSOMemberAccountAdministrator |
此策略现在包含在 |
2022 年 8 月 16 日 |
| AWSSSOReadOnly |
此策略现在包含在 |
2022 年 8 月 11 日 |
| AWSSSOServiceRolePolicy |
此策略现在包括调用 |
2022 年 7 月 14 日 |
| AWSSSOServiceRolePolicy | 此策略现在包含允许调用 AWS Organizations 中的 ListAWSServiceAccessForOrganization and 的新权限。 |
2022 年 5 月 11 日 |
|
AWSSSOMasterAccountAdministrator |
添加 IAM Access Analyzer 权限,允许主体使用策略检查进行验证。 | 2022 年 4 月 28 日 |
| AWSSSOMasterAccountAdministrator |
此策略现在允许所有 IAM Identity Center 身份存储服务操作。 有关 IAM Identity Center 身份存储服务中可用操作的信息,请参阅 IAM Identity Center 身份存储 API 参考。 |
2022 年 3 月 29 日 |
| AWSSSOMemberAccountAdministrator |
此策略现在允许所有 IAM Identity Center 身份存储服务操作。 |
2022 年 3 月 29 日 |
| AWSSSODirectoryAdministrator |
此策略现在允许所有 IAM Identity Center 身份存储服务操作。 |
2022 年 3 月 29 日 |
| AWSSSODirectoryReadOnly |
此策略现在授予对 IAM Identity Center 身份存储服务读取操作的访问权限。需要此访问权限才能从 IAM Identity Center 身份存储服务检索用户和组信息。 |
2022 年 3 月 29 日 |
| AWSIdentitySyncFullAccess |
此策略允许完全访问身份同步权限。 |
2022 年 3 月 3 日 |
| AWSIdentitySyncReadOnlyAccess |
此策略授予只读权限,允许主体查看身份同步设置。 |
2022 年 3 月 3 日 |
| AWSSSOReadOnly |
此策略授予只读权限,允许主体查看 IAM Identity Center 配置设置。 |
2021 年 8 月 4 日 |
| IAM Identity Center 开始跟踪更改 | IAM Identity Center 开始跟踪 AWS 管理型策略的更改。 | 2021 年 8 月 4 日 |
