AWS IAM Identity Center 的動作、資源和條件索引鍵 (接續到 AWS 單一登入) - 服務授權參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS IAM Identity Center 的動作、資源和條件索引鍵 (接續到 AWS 單一登入)

AWS IAM Identity Center (接續至 AWS 單一登入) (服務字首:sso) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。

參考資料:

AWS IAM Identity Center 定義的動作 (接續到 AWS 單一登入)

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用 動作時,通常會允許或拒絕存取具有相同名稱API的操作或CLI命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作ARN的陳述式中指定該類型的 。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在 IAM 政策中限制使用 Resource元素存取資源,您必須為每個必要的資源類型包含 ARN或 模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊,請參閱動作資料表

動作 描述 存取層級 資源類型 (*必填項目) 條件索引鍵 相依動作
AssociateDirectory 准許連接要由 AWS IAM Identity Center 使用的目錄 寫入

ds:AuthorizeApplication

AssociateProfile 准許建立目錄使用者或群組和描述檔之間的關聯 寫入
AttachCustomerManagedPolicyReferenceToPermissionSet 准許將客戶受管政策參考連接到許可集 許可管理

Instance*

PermissionSet*

AttachManagedPolicyToPermissionSet 准許將 AWS 受管政策連接至許可集 許可管理

Instance*

PermissionSet*

CreateAccountAssignment 准許 AWS 帳戶 使用指定的許可集,將存取權指派給指定 的委託人 寫入

Account*

Instance*

PermissionSet*

CreateApplication 准許建立應用程式 寫入

ApplicationProvider*

Instance*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateApplicationAssignment 准許建立應用程式指派 寫入

Application*

sso:ApplicationAccount

CreateApplicationInstance 准許將應用程式執行個體 AWS IAM新增至 Identity Center 寫入
CreateApplicationInstanceCertificate 准許新增應用程式執行個體的新憑證 寫入
CreateInstance 准許建立身分中心執行個體 寫入

Instance*

iam:CreateServiceLinkedRole

organizations:DescribeOrganization

aws:RequestTag/${TagKey}

aws:TagKeys

CreateInstanceAccessControlAttributeConfiguration 准許為 啟用執行個體ABAC並指定屬性 寫入

Instance*

iam:AttachRolePolicy

iam:CreateRole

iam:DeleteRole

iam:DeleteRolePolicy

iam:DetachRolePolicy

iam:GetRole

iam:ListAttachedRolePolicies

iam:ListRolePolicies

iam:PutRolePolicy

iam:UpdateAssumeRolePolicy

CreateManagedApplicationInstance 准許將受管應用程式執行個體 AWS IAM新增至 Identity Center 寫入
CreatePermissionSet 准許建立許可集 寫入

Instance*

PermissionSet*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProfile 准許建立應用程式執行個體的描述檔 寫入
CreateTrust 准許在目標帳戶中建立聯合信任 寫入
CreateTrustedTokenIssuer 准許建立執行個體的受信任字符發行者 寫入

Instance*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAccountAssignment 准許 AWS 帳戶 使用指定的許可集從指定的 刪除主體的存取權 寫入

Account*

Instance*

PermissionSet*

DeleteApplication 准許刪除應用程式 寫入

Application*

sso:ApplicationAccount

DeleteApplicationAccessScope 准許刪除應用程式的存取範圍 寫入

Application*

sso:ApplicationAccount

DeleteApplicationAssignment 准許刪除應用程式指派 寫入

Application*

sso:ApplicationAccount

DeleteApplicationAuthenticationMethod 准許刪除應用程式的身分驗證方法 寫入

Application*

sso:ApplicationAccount

DeleteApplicationGrant 准許從應用程式中刪除授予 寫入

Application*

sso:ApplicationAccount

DeleteApplicationInstance 准許刪除應用程式執行個體 寫入
DeleteApplicationInstanceCertificate 准許從應用程式執行個體中刪除非作用中或過期的憑證 寫入
DeleteInlinePolicyFromPermissionSet 准許從指定的許可集中刪除內嵌政策 寫入

Instance*

PermissionSet*

DeleteInstance 准許刪除身分中心執行個體 寫入

Instance*

DeleteInstanceAccessControlAttributeConfiguration 准許停用ABAC和移除執行個體的屬性清單 寫入

Instance*

DeleteManagedApplicationInstance 准許刪除受管應用程式執行個體 寫入
DeletePermissionSet 准許刪除許可集 寫入

Instance*

PermissionSet*

DeletePermissionsBoundaryFromPermissionSet 准許從許可集移除許可界限 許可管理

Instance*

PermissionSet*

DeletePermissionsPolicy 准許刪除與許可集合相關聯的許可政策 許可管理
DeleteProfile 准許刪除應用程式執行個體的描述檔 寫入
DeleteTrustedTokenIssuer 准許刪除執行個體的受信任字符發行者 寫入

TrustedTokenIssuer*

DescribeAccountAssignmentCreationStatus 准許描述指派建立請求的狀態 讀取

Instance*

DescribeAccountAssignmentDeletionStatus 准許描述指派刪除請求的狀態 讀取

Instance*

DescribeApplication 准許取得應用程式的相關資訊 讀取

Application*

sso:ApplicationAccount

DescribeApplicationAssignment 准許擷取應用程式指派 讀取

Application*

sso:ApplicationAccount

DescribeApplicationProvider 准許描述應用程式提供者 讀取

ApplicationProvider*

DescribeDirectories 准許取得此帳戶目錄的相關資訊 讀取
DescribeInstance 准許取得身分中心執行個體的相關資訊 讀取

Instance*

DescribeInstanceAccessControlAttributeConfiguration 准許取得執行個體用於 的屬性清單 ABAC 讀取

Instance*

DescribePermissionSet 准許描述許可集 讀取

Instance*

PermissionSet*

DescribePermissionSetProvisioningStatus 准許描述指定許可集佈建請求的狀態 讀取

Instance*

DescribePermissionsPolicies 准許擷取與許可集合相關聯的所有許可政策 讀取
DescribeRegisteredRegions 准許取得您的組織已啟用 AWS IAM Identity Center 的區域 讀取
DescribeTrustedTokenIssuer 准許描述執行個體的受信任字符發行者 讀取

TrustedTokenIssuer*

DescribeTrusts 准許取得此帳戶的信任關係的相關資訊 讀取
DetachCustomerManagedPolicyReferenceFromPermissionSet 准許將客戶受管政策參考從許可集中分離 許可管理

Instance*

PermissionSet*

DetachManagedPolicyFromPermissionSet 准許將連接的 AWS 受管政策與指定的許可集分離 許可管理

Instance*

PermissionSet*

DisassociateDirectory 准許取消關聯要供 AWS IAM Identity Center 使用的目錄 寫入

ds:UnauthorizeApplication

DisassociateProfile 准許將目錄使用者或群組與描述檔的關聯取消 寫入
GetApplicationAccessScope 准許取得應用程式的存取範圍 讀取

Application*

sso:ApplicationAccount

GetApplicationAssignmentConfiguration 准許讀取應用程式的指派組態 讀取

Application*

sso:ApplicationAccount

GetApplicationAuthenticationMethod 准許取得應用程式的身分驗證方法 讀取

Application*

sso:ApplicationAccount

GetApplicationGrant 准許取得屬於應用程序授予的相關詳細資訊 讀取

Application*

sso:ApplicationAccount

GetApplicationInstance 准許擷取應用程式執行個體的詳細資訊 讀取
GetApplicationTemplate 准許擷取應用程式範本詳細資訊 讀取
GetInlinePolicyForPermissionSet 准許取得指派給許可集的內嵌政策 讀取

Instance*

PermissionSet*

GetManagedApplicationInstance 准許擷取應用程式執行個體的詳細資訊 讀取
GetMfaDeviceManagementForDirectory 准許擷取目錄的 MFA 裝置管理設定 讀取
GetPermissionSet 准許擷取許可集的詳細資訊 讀取
GetPermissionsBoundaryForPermissionSet 准許取得許可集的許可界限 讀取

Instance*

PermissionSet*

GetPermissionsPolicy 准許擷取與許可集合關聯的所有許可政策 讀取

sso:DescribePermissionsPolicies

GetProfile 准許擷取應用程式執行個體的描述檔 讀取
GetSSOStatus 准許檢查 Identity Center 是否 AWS IAM已啟用 讀取
GetSharedSsoConfiguration 准許擷取目前SSO執行個體的共用組態 讀取
GetSsoConfiguration 准許擷取目前SSO執行個體的組態 讀取
GetTrust 准許在目標帳戶中擷取聯合信任 讀取
ImportApplicationInstanceServiceProviderMetadata 准許透過上傳服務提供者提供的應用程式SAML中繼資料檔案來更新應用程式執行個體 寫入
ListAccountAssignmentCreationStatus 准許列出指定SSO執行個體之 AWS 帳戶 指派建立請求的狀態 清單

Instance*

ListAccountAssignmentDeletionStatus 准許列出指定SSO執行個體之 AWS 帳戶 指派刪除請求的狀態 清單

Instance*

ListAccountAssignments 准許列出 AWS 帳戶 具有指定許可集之指定 的受指派者 清單

Account*

Instance*

PermissionSet*

ListAccountAssignmentsForPrincipal 准許列出指派給使用者或群組的帳戶 清單

Instance*

ListAccountsForProvisionedPermissionSet 准許列出佈建指定許可集的所有 AWS 帳戶 清單

Instance*

PermissionSet*

ListApplicationAccessScopes 准許列出應用程式的存取範圍 清單

Application*

sso:ApplicationAccount

ListApplicationAssignments 准許列出應用程式指派 清單

Application*

sso:ApplicationAccount

ListApplicationAssignmentsForPrincipal 准許列出指派給使用者或群組的應用程式 清單

Instance*

sso:ApplicationAccount

ListApplicationAuthenticationMethods 准許列出應用程式的身分驗證方法 清單

Application*

sso:ApplicationAccount

ListApplicationGrants 准許列出來自應用程式的授予 清單

Application*

sso:ApplicationAccount

ListApplicationInstanceCertificates 准許擷取特定應用程式執行個體的所有憑證 讀取
ListApplicationInstances 准許擷取所有應用程式執行個體 清單

sso:GetApplicationInstance

ListApplicationProviders 准許列出應用程式提供者 清單

ApplicationProvider*

ListApplicationTemplates 准許擷取所有支援的應用程式範本 清單

sso:GetApplicationTemplate

ListApplications 准許擷取與 IAM Identity Center 執行個體相關聯的所有應用程式 清單
ListCustomerManagedPolicyReferencesInPermissionSet 准許列出連接至指定許可集的客戶受管政策參考 清單

Instance*

PermissionSet*

ListDirectoryAssociations 准許擷取連接到 AWS IAM Identity Center 的目錄詳細資訊 讀取
ListInstances 准許列出發起人有權存取的SSO執行個體 清單
ListManagedPoliciesInPermissionSet 准許列出連接到指定許可集的 AWS 受管政策 清單

Instance*

PermissionSet*

ListPermissionSetProvisioningStatus 准許列出指定SSO執行個體之許可集佈建請求的狀態 清單

Instance*

ListPermissionSets 准許擷取所有許可集 清單

Instance*

ListPermissionSetsProvisionedToAccount 准許列出佈建至指定 的所有許可集 AWS 帳戶 清單

Account*

Instance*

ListProfileAssociations 准許擷取與描述檔相關聯的目錄使用者或群組 讀取
ListProfiles 准許擷取應用程式執行個體的所有描述檔 清單

sso:GetProfile

ListTagsForResource 准許列出連接到指定資源的標籤 讀取

Application

Instance

PermissionSet

TrustedTokenIssuer

ListTrustedTokenIssuers 准許列出執行個體的受信任字符發行者 清單

Instance*

ProvisionPermissionSet 准許將指定許可集佈建到指定的目標 寫入

Account*

Instance*

PermissionSet*

PutApplicationAccessScope 准許建立/更新應用程式的存取範圍 寫入

Application*

sso:ApplicationAccount

PutApplicationAssignmentConfiguration 准許將指派組態新增至應用程式 寫入

Application*

sso:ApplicationAccount

PutApplicationAuthenticationMethod 准許建立/更新應用程式的身分驗證方法 寫入

Application*

sso:ApplicationAccount

PutApplicationGrant 准許建立/更新應用程式的授予 寫入

Application*

sso:ApplicationAccount

PutInlinePolicyToPermissionSet 准許將IAM內嵌政策連接至許可集 寫入

Instance*

PermissionSet*

PutMfaDeviceManagementForDirectory 准許針對目錄放置 MFA 裝置管理設定 寫入
PutPermissionsBoundaryToPermissionSet 准許將許可界限新增至許可集 許可管理

Instance*

PermissionSet*

PutPermissionsPolicy 准許與將政策新增至許可集 許可管理
SearchGroups 准許搜尋關聯目錄中的群組 讀取

ds:DescribeDirectories

SearchUsers 准許搜尋關聯目錄中的使用者 讀取

ds:DescribeDirectories

StartSSO 准許初始化 AWS IAM Identity Center 寫入

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

TagResource 准許將一組標籤與指定資源建立關聯 標記

Application

Instance

PermissionSet

TrustedTokenIssuer

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 准許將一組標籤與指定資源取消關聯 標記

Application

Instance

PermissionSet

TrustedTokenIssuer

aws:TagKeys

UpdateApplication 准許更新應用程式 寫入

Application*

sso:ApplicationAccount

UpdateApplicationInstanceActiveCertificate 准許將憑證設定為此應用程式執行個體的作用中憑證 寫入
UpdateApplicationInstanceDisplayData 准許更新應用程式執行個體的顯示資料 寫入
UpdateApplicationInstanceResponseConfiguration 准許更新應用程式執行個體的聯合回應組態 寫入
UpdateApplicationInstanceResponseSchemaConfiguration 准許更新應用程式執行個體的聯合回應結構描述組態 寫入
UpdateApplicationInstanceSecurityConfiguration 准許更新應用程式執行個體的安全性詳細資訊 寫入
UpdateApplicationInstanceServiceProviderConfiguration 准許更新應用程式執行個體的服務供應商相關組態 寫入
UpdateApplicationInstanceStatus 准許更新應用程式執行個體的狀態 寫入
UpdateDirectoryAssociation 准許為連線目錄更新使用者屬性映射 寫入
UpdateInstance 准許更新身分中心執行個體 寫入

Instance*

UpdateInstanceAccessControlAttributeConfiguration 准許更新要與 執行個體搭配使用的屬性 ABAC 寫入

Instance*

UpdateManagedApplicationInstanceStatus 准許更新受管應用程式執行個體的狀態 寫入
UpdatePermissionSet 准許更新許可集 許可管理

Instance*

PermissionSet*

UpdateProfile 准許更新應用程式執行個體的描述檔 寫入
UpdateSSOConfiguration 准許更新目前SSO執行個體的組態 寫入
UpdateTrust 准許在目標帳戶中更新聯合信任 寫入
UpdateTrustedTokenIssuer 准許更新執行個體的受信任字符發行者 寫入

TrustedTokenIssuer*

AWS IAM Identity Center 定義的資源類型 (接續到 AWS 單一登入)

此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表

資源類型 ARN 條件索引鍵
PermissionSet arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}

aws:ResourceTag/${TagKey}

Account arn:${Partition}:sso:::account/${AccountId}
Instance arn:${Partition}:sso:::instance/${InstanceId}

aws:ResourceTag/${TagKey}

Application arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}

aws:ResourceTag/${TagKey}

sso:ApplicationAccount

TrustedTokenIssuer arn:${Partition}:sso::${AccountId}:trustedTokenIssuer/${InstanceId}/${TrustedTokenIssuerId}

aws:ResourceTag/${TagKey}

ApplicationProvider arn:${Partition}:sso::aws:applicationProvider/${ApplicationProviderId}

AWS IAM Identity Center 的條件索引鍵 (接續到 AWS 單一登入)

AWS IAM Identity Center (接續到 AWS 單一登入) 定義了下列條件索引鍵,可用於 IAM政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表

若要檢視所有服務都可使用的全域條件鍵,請參閱可用全域條件鍵

條件索引鍵 描述 類型
aws:RequestTag/${TagKey} 依要求中傳遞的標籤來篩選存取權 字串
aws:ResourceTag/${TagKey} 依與資源關聯的標籤來篩選存取權 字串
aws:TagKeys 依要求中傳遞的標籤索引鍵來篩選存取權 ArrayOfString
sso:ApplicationAccount 依建立應用程式的帳戶篩選存取權 字串