本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为IAM身份中心使用服务相关角色
AWS IAM Identity Center 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的角色类型,直接链接到 Ident IAM ity Center。IAM它由 Ident IAM ity Center 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。有关更多信息,请参阅 服务相关角色。
与服务相关的角色可以更轻松地设置 IAM Identity Center,因为您无需手动添加必要的权限。IAMIdentity Center 定义了其服务相关角色的权限,除非另有定义,否则只有 Ident IAM ity Center 可以担任其角色。定义的权限包括信任策略和权限策略,并且该权限策略不能附加到任何其他IAM实体。
有关支持服务相关角色的其他服务的信息,请参阅与之配合使用的AWS 服务,IAM并在 “服务相关角色” 列中查找标有 “是” 的服务。选择是和链接,查看该服务的服务相关角色文档。
IAM身份中心的服务相关角色权限
IAMIdentity Center 使用名AWSServiceRoleForSSO为的服务相关角色授予 Ident IAM ity Center 代表您管理 AWS 资源(包括IAM角色、策略和 Id SAML P)的权限。
AWSServiceRoleForSSO 服务相关角色信任以下服务来代入该角色:
-
IAM身份中心(服务前缀:
sso)
AWSServiceRoleForSSO 服务相关角色权限策略允许 Ident IAM ity Center 对路径 “/aws-reserved/sso.amazonaws.com/” 上且名称前缀为 “_” 的角色完成以下操作:AWSReservedSSO
-
iam:AttachRolePolicy -
iam:CreateRole -
iam:DeleteRole -
iam:DeleteRolePermissionsBoundary -
iam:DeleteRolePolicy -
iam:DetachRolePolicy -
iam:GetRole -
iam:ListRolePolicies -
iam:PutRolePolicy -
iam:PutRolePermissionsBoundary -
iam:ListAttachedRolePolicies
AWSServiceRoleForSSO 服务相关角色权限策略允许 Ident IAM ity Center 在名称前缀为 “AWSSSO_” 的SAML提供商上完成以下操作:
-
iam:CreateSAMLProvider -
iam:GetSAMLProvider -
iam:UpdateSAMLProvider -
iam:DeleteSAMLProvider
AWSServiceRoleForSSO 服务相关角色权限策略允许 Ident IAM ity Center 在所有组织上完成以下操作:
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
AWSServiceRoleForSSO 服务相关角色权限策略允许 Ident IAM ity Center 对所有IAM角色 (*) 完成以下操作:
-
iam:listRoles
AWSServiceRoleForSSO 服务相关角色权限策略允许 Ident IAM ity Center 在 “arn: aws:: iam:: *: role/ /sso.amazonaws.com/” 上完成以下操作:aws-service-roleAWSServiceRoleForSSO
-
iam:GetServiceLinkedRoleDeletionStatus -
iam:DeleteServiceLinkedRole
角色权限策略允许 Ident IAM ity Center 对资源完成以下操作。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }
必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限。
为 Identity C IAM enter 创建服务相关角色
您无需手动创建服务相关角色。启用后,Ident IAM ity Center 将在 Organizations 中组织内的所有账户中 AWS 创建一个服务相关角色。IAMIdentity Center 还会在随后添加到您的组织的每个账户中创建相同的服务相关角色。此角色允许 Id IAM entity Center 代表您访问每个账户的资源。
注意
-
如果您登录了 AWS Organizations 管理账户,则该账户将使用您当前登录的角色,而不是服务相关角色。这可以防止权限升级。
-
当 IAM Identity Center 在 AWS Organizations 管理账户中执行任何IAM操作时,所有操作都使用IAM委托人的凭据进行。这样,登录 CloudTrail 即可查看谁在管理账户中进行了所有权限更改。
重要
如果您在 2017 年 12 月 7 日IAM身份中心服务开始支持服务相关角色之前使用该服务,那么 Ident IAM ity Center 会在您的账户中创建该 AWSServiceRoleForSSO 角色。要了解更多信息,请参阅 “我的IAM账户” 中出现了一个新角色。
如果您删除了此服务相关角色然后需要再次创建它,可以使用相同的流程在您的帐户中重新创建此角色。
编辑 Identity C IAM enter 的服务相关角色
IAMIdentity Center 不允许您编辑 AWSServiceRoleForSSO 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅《IAM用户指南》中的编辑服务相关角色。
删除 Identity C IAM enter 的服务相关角色
您无需手动删除该 AWSServiceRoleForSSO 角色。从 AWS 组织中移除后,I AWS 账户 dent IAM ity Center 会自动清理资源并从中删除服务相关角色。 AWS 账户
您也可以使用IAM控制台IAMCLI、或手动删除服务相关角色。IAM API为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
注意
如果您尝试删除资源时,Ident IAM ity Center 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
删除由使用的IAM身份中心资源 AWSServiceRoleForSSO
-
移除用户和组访问权限 适用于有权访问 AWS 账户的所有用户和组。
-
与 AWS 账户关联的 删除权限集。
使用手动删除服务相关角色 IAM
使用IAM控制台IAMCLI、或删除 AWSServiceRoleForSSO服务相关角色。IAM API有关更多信息,请参阅IAM用户指南中的删除服务相关角色。
