Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für identitätsbasierte Richtlinien für IAM Identity Center
Dieses Thema enthält Beispiele für IAM Richtlinien, die Sie erstellen können, um Benutzern und Rollen Berechtigungen zur Verwaltung von IAM Identity Center zu gewähren.
Wichtig
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen erläutert werden, die Ihnen zur Verwaltung des Zugriffs auf Ihre IAM Identity Center-Ressourcen zur Verfügung stehen. Weitere Informationen finden Sie unter Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre IAM Identity Center-Ressourcen.
Dieses Thema besteht aus folgenden Abschnitten:
Beispiele für benutzerdefinierte Richtlinien
Dieser Abschnitt enthält Beispiele für allgemeine Anwendungsfälle, für die eine benutzerdefinierte IAM Richtlinie erforderlich ist. Bei diesen Beispielrichtlinien handelt es sich um identitätsbasierte Richtlinien, die das Principal-Element nicht spezifizieren. Das liegt daran, dass Sie bei einer identitätsbasierten Richtlinie nicht den Prinzipal angeben, der die Erlaubnis erhält. Stattdessen fügen Sie die Richtlinie dem Prinzipal hinzu. Wenn Sie einer IAM Rolle eine identitätsbasierte Berechtigungsrichtlinie zuordnen, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen. Sie können identitätsbasierte Richtlinien in Benutzern, Gruppen und/oder Rollen erstellen IAM und diese diesen zuordnen. Sie können diese Richtlinien auch auf IAM Identity Center-Benutzer anwenden, wenn Sie in IAM Identity Center einen Berechtigungssatz erstellen.
Anmerkung
Verwenden Sie diese Beispiele, wenn Sie Richtlinien für Ihre Umgebung erstellen, und stellen Sie sicher, dass Sie Tests sowohl auf positive („Zugriff gewährt“) als auch auf negative („Zugriff verweigert“) Testfälle durchführen, bevor Sie diese Richtlinien in Ihrer Produktionsumgebung bereitstellen. Weitere Informationen zum Testen von IAM Richtlinien finden Sie unter Testen von IAM Richtlinien mit dem IAM Richtliniensimulator im IAMBenutzerhandbuch.
Themen
- Beispiel 1: Erlauben Sie einem Benutzer, IAM Identity Center aufzurufen
- Beispiel 2: Erlauben Sie einem Benutzer, seine Berechtigungen AWS-Konten in IAM Identity Center zu verwalten
- Beispiel 3: Erlauben Sie einem Benutzer, Anwendungen in IAM Identity Center zu verwalten
- Beispiel 4: Erlauben Sie einem Benutzer, Benutzer und Gruppen in Ihrem Identity Center-Verzeichnis zu verwalten
Beispiel 1: Erlauben Sie einem Benutzer, IAM Identity Center aufzurufen
Die folgende Berechtigungsrichtlinie gewährt einem Benutzer nur Leseberechtigungen, sodass er alle in IAM Identity Center konfigurierten Einstellungen und Verzeichnisinformationen einsehen kann.
Anmerkung
Diese Richtlinie dient nur zu Beispielzwecken. In einer Produktionsumgebung empfehlen wir, die ViewOnlyAccess
AWS verwaltete Richtlinie für IAM Identity Center zu verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "ds:DescribeTrusts", "iam:ListPolicies", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListPermissionSets", "sso:DescribePermissionSet", "sso:GetInlinePolicyForPermissionSet", "sso-directory:DescribeDirectory", "sso-directory:SearchUsers", "sso-directory:SearchGroups" ], "Resource": "*" } ] }
Beispiel 2: Erlauben Sie einem Benutzer, seine Berechtigungen AWS-Konten in IAM Identity Center zu verwalten
Die folgende Berechtigungsrichtlinie gewährt einem Benutzer Berechtigungen, die es einem Benutzer ermöglichen, Berechtigungssätze für Sie zu erstellen, zu verwalten und bereitzustellen AWS-Konten.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AttachManagedPolicyToPermissionSet", "sso:CreateAccountAssignment", "sso:CreatePermissionSet", "sso:DeleteAccountAssignment", "sso:DeleteInlinePolicyFromPermissionSet", "sso:DeletePermissionSet", "sso:DetachManagedPolicyFromPermissionSet", "sso:ProvisionPermissionSet", "sso:PutInlinePolicyToPermissionSet", "sso:UpdatePermissionSet" ], "Resource": "*" }, { "Sid": "IAMListPermissions", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "AccessToSSOProvisionedRoles", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" }, { "Effect": "Allow", "Action": [ "iam:GetSAMLProvider" ], "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE" } ] }
Anmerkung
Die zusätzlichen Berechtigungen"Sid": "IAMListPermissions"
, die in den "Sid": "AccessToSSOProvisionedRoles"
Abschnitten und aufgeführt sind, sind nur erforderlich, damit der Benutzer Aufgaben im AWS Organizations Verwaltungskonto erstellen kann. In bestimmten Fällen müssen Sie diese Abschnitte möglicherweise auch erweiterniam:UpdateSAMLProvider
.
Beispiel 3: Erlauben Sie einem Benutzer, Anwendungen in IAM Identity Center zu verwalten
Die folgende Berechtigungsrichtlinie gewährt einem Benutzer Berechtigungen, die es einem Benutzer ermöglichen, Anwendungen in IAM Identity Center anzuzeigen und zu konfigurieren, einschließlich vorintegrierter SaaS-Anwendungen aus dem IAM Identity Center-Katalog.
Anmerkung
Der im folgenden Richtlinienbeispiel verwendete sso:AssociateProfile
Vorgang ist für die Verwaltung von Benutzer- und Gruppenzuweisungen zu Anwendungen erforderlich. Es ermöglicht einem Benutzer auch, AWS-Konten mithilfe vorhandener Berechtigungssätze Benutzer und Gruppen zuzuweisen. Informationen darüber, ob ein Benutzer AWS-Konto den Zugriff innerhalb von IAM Identity Center verwalten muss und die für die Verwaltung von Berechtigungssätzen erforderlichen Berechtigungen benötigt, finden Sie unterBeispiel 2: Erlauben Sie einem Benutzer, seine Berechtigungen AWS-Konten in IAM Identity Center zu verwalten.
Seit Oktober 2020 sind viele dieser Operationen nur über die AWS Konsole verfügbar. Diese Beispielrichtlinie umfasst „Lesen“ -Aktionen wie „Auflisten“, „Abrufen“ und „Suchen“, die für den fehlerfreien Betrieb der Konsole in diesem Fall relevant sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:ImportApplicationInstanceServiceProviderMetadata", "sso:DeleteApplicationInstance", "sso:DeleteProfile", "sso:DisassociateProfile", "sso:GetApplicationTemplate", "sso:UpdateApplicationInstanceServiceProviderConfiguration", "sso:UpdateApplicationInstanceDisplayData", "sso:DeleteManagedApplicationInstance", "sso:UpdateApplicationInstanceStatus", "sso:GetManagedApplicationInstance", "sso:UpdateManagedApplicationInstanceStatus", "sso:CreateManagedApplicationInstance", "sso:UpdateApplicationInstanceSecurityConfiguration", "sso:UpdateApplicationInstanceResponseConfiguration", "sso:GetApplicationInstance", "sso:CreateApplicationInstanceCertificate", "sso:UpdateApplicationInstanceResponseSchemaConfiguration", "sso:UpdateApplicationInstanceActiveCertificate", "sso:DeleteApplicationInstanceCertificate", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationTemplates", "sso:ListApplications", "sso:ListApplicationInstances", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso:ListProfileAssociations", "sso:ListInstances", "sso:GetProfile", "sso:GetSSOStatus", "sso:GetSsoConfiguration", "sso-directory:DescribeDirectory", "sso-directory:DescribeUsers", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
Beispiel 4: Erlauben Sie einem Benutzer, Benutzer und Gruppen in Ihrem Identity Center-Verzeichnis zu verwalten
Die folgende Berechtigungsrichtlinie gewährt einem Benutzer Berechtigungen, die es einem Benutzer ermöglichen, Benutzer und Gruppen in IAM Identity Center zu erstellen, anzuzeigen, zu ändern und zu löschen.
In einigen Fällen sind direkte Änderungen an Benutzern und Gruppen in IAM Identity Center eingeschränkt. Dies ist beispielsweise der Fall, wenn Active Directory oder ein externer Identitätsanbieter mit aktivierter automatischer Bereitstellung als Identitätsquelle ausgewählt wird.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:DisableUser", "sso-directory:EnableUser", "sso-directory:SearchGroups", "sso-directory:DeleteGroup", "sso-directory:AddMemberToGroup", "sso-directory:DescribeDirectory", "sso-directory:UpdateUser", "sso-directory:ListMembersInGroup", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:SearchUsers", "sso:ListDirectoryAssociations", "sso-directory:RemoveMemberFromGroup", "sso-directory:DeleteUser", "sso-directory:DescribeUsers", "sso-directory:UpdateGroup", "sso-directory:CreateGroup" ], "Resource": "*" } ] }
Für die Verwendung der IAM Identity Center-Konsole sind Berechtigungen erforderlich
Damit ein Benutzer fehlerfrei mit der IAM Identity Center-Konsole arbeiten kann, sind zusätzliche Berechtigungen erforderlich. Wenn eine IAM Richtlinie erstellt wurde, die restriktiver ist als die erforderlichen Mindestberechtigungen, funktioniert die Konsole für Benutzer mit dieser Richtlinie nicht wie vorgesehen. Das folgende Beispiel listet die Berechtigungen auf, die möglicherweise erforderlich sind, um einen fehlerfreien Betrieb innerhalb der IAM Identity Center-Konsole sicherzustellen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:DescribeAccountAssignmentCreationStatus", "sso:DescribeAccountAssignmentDeletionStatus", "sso:DescribePermissionSet", "sso:DescribePermissionSetProvisioningStatus", "sso:DescribePermissionsPolicies", "sso:DescribeRegisteredRegions", "sso:GetApplicationInstance", "sso:GetApplicationTemplate", "sso:GetInlinePolicyForPermissionSet", "sso:GetManagedApplicationInstance", "sso:GetMfaDeviceManagementForDirectory", "sso:GetPermissionSet", "sso:GetPermissionsPolicy", "sso:GetProfile", "sso:GetSharedSsoConfiguration", "sso:GetSsoConfiguration", "sso:GetSSOStatus", "sso:GetTrust", "sso:ListAccountAssignmentCreationStatus", "sso:ListAccountAssignmentDeletionStatus", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationInstances", "sso:ListApplications", "sso:ListApplicationTemplates", "sso:ListDirectoryAssociations", "sso:ListInstances", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetProvisioningStatus", "sso:ListPermissionSets", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListProfileAssociations", "sso:ListProfiles", "sso:ListTagsForResource", "sso-directory:DescribeDirectory", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso-directory:ListGroupsForUser", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }