Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für identitätsbasierte Richtlinien für IAM Identity Center
Dieses Thema enthält Beispiele für IAM-Richtlinien, die Sie erstellen können, um Benutzern und Rollen Berechtigungen zur Verwaltung von IAM Identity Center zu gewähren.
Wichtig
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen erläutert werden, mit denen Sie den Zugriff auf Ihre IAM Identity Center-Ressourcen verwalten können. Weitere Informationen finden Sie unter Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre IAM Identity Center-Ressourcen.
Dieses Thema besteht aus folgenden Abschnitten:
Beispiele für benutzerdefinierte Richtlinien
Dieser Abschnitt enthält Beispiele für allgemeine Anwendungsfälle, für die eine benutzerdefinierte IAM-Richtlinie erforderlich ist. Bei diesen Beispielrichtlinien handelt es sich um identitätsbasierte Richtlinien, die das Principal-Element nicht spezifizieren. Das liegt daran, dass Sie bei einer identitätsbasierten Richtlinie nicht den Prinzipal angeben, der die Erlaubnis erhält. Stattdessen fügen Sie die Richtlinie dem Prinzipal hinzu. Wenn Sie einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuordnen, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen. Sie können identitätsbasierte Richtlinien in IAM erstellen und diese Benutzern, Gruppen und/oder Rollen zuordnen. Sie können diese Richtlinien auch auf IAM Identity Center-Benutzer anwenden, wenn Sie in IAM Identity Center einen Berechtigungssatz erstellen.
Anmerkung
Verwenden Sie diese Beispiele, wenn Sie Richtlinien für Ihre Umgebung erstellen, und stellen Sie sicher, dass Sie Tests sowohl auf positive („Zugriff gewährt“) als auch auf negative („Zugriff verweigert“) Testfälle durchführen, bevor Sie diese Richtlinien in Ihrer Produktionsumgebung bereitstellen. Weitere Informationen zum Testen von IAM-Richtlinien finden Sie unter Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator im IAM-Benutzerhandbuch.
Themen
- Beispiel 1: Erlauben Sie einem Benutzer, IAM Identity Center aufzurufen
- Beispiel 2: Erlauben Sie einem Benutzer, seine Berechtigungen AWS-Konten in IAM Identity Center zu verwalten
- Beispiel 3: Erlauben Sie einem Benutzer, Anwendungen in IAM Identity Center zu verwalten
- Beispiel 4: Erlauben Sie einem Benutzer, Benutzer und Gruppen in Ihrem Identity Center-Verzeichnis zu verwalten
Beispiel 1: Erlauben Sie einem Benutzer, IAM Identity Center aufzurufen
Die folgende Berechtigungsrichtlinie gewährt einem Benutzer nur Leseberechtigungen, sodass er alle in IAM Identity Center konfigurierten Einstellungen und Verzeichnisinformationen einsehen kann.
Anmerkung
Diese Richtlinie dient nur zu Beispielzwecken. In einer Produktionsumgebung empfehlen wir, die ViewOnlyAccess AWS verwaltete Richtlinie für IAM Identity Center zu verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "ds:DescribeTrusts", "iam:ListPolicies", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListPermissionSets", "sso:DescribePermissionSet", "sso:GetInlinePolicyForPermissionSet", "sso-directory:DescribeDirectory", "sso-directory:SearchUsers", "sso-directory:SearchGroups" ], "Resource": "*" } ] }
Beispiel 2: Erlauben Sie einem Benutzer, seine Berechtigungen AWS-Konten in IAM Identity Center zu verwalten
Die folgende Berechtigungsrichtlinie gewährt einem Benutzer Berechtigungen, die es einem Benutzer ermöglichen, Berechtigungssätze für Sie zu erstellen, zu verwalten und bereitzustellen. AWS-Konten
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AttachManagedPolicyToPermissionSet", "sso:CreateAccountAssignment", "sso:CreatePermissionSet", "sso:DeleteAccountAssignment", "sso:DeleteInlinePolicyFromPermissionSet", "sso:DeletePermissionSet", "sso:DetachManagedPolicyFromPermissionSet", "sso:ProvisionPermissionSet", "sso:PutInlinePolicyToPermissionSet", "sso:UpdatePermissionSet" ], "Resource": "*" }, { "Sid": "IAMListPermissions", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "AccessToSSOProvisionedRoles", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" }, { "Effect": "Allow", "Action": [ "iam:GetSAMLProvider" ], "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE" } ] }
Anmerkung
Die zusätzlichen Berechtigungen"Sid": "IAMListPermissions", die in den "Sid": "AccessToSSOProvisionedRoles" Abschnitten und aufgeführt sind, sind nur erforderlich, damit der Benutzer Aufgaben im AWS Organizations Verwaltungskonto erstellen kann. In bestimmten Fällen müssen Sie diese Abschnitte möglicherweise auch erweiterniam:UpdateSAMLProvider.
Beispiel 3: Erlauben Sie einem Benutzer, Anwendungen in IAM Identity Center zu verwalten
Die folgende Berechtigungsrichtlinie gewährt Benutzern Berechtigungen zum Anzeigen und Konfigurieren von Anwendungen in IAM Identity Center, einschließlich vorintegrierter SaaS-Anwendungen aus dem IAM Identity Center-Katalog.
Anmerkung
Der im folgenden Richtlinienbeispiel verwendete sso:AssociateProfile Vorgang ist für die Verwaltung von Benutzer- und Gruppenzuweisungen zu Anwendungen erforderlich. Es ermöglicht einem Benutzer auch, AWS-Konten mithilfe vorhandener Berechtigungssätze Benutzer und Gruppen zuzuweisen. Wenn ein Benutzer den AWS-Konto Zugriff innerhalb von IAM Identity Center verwalten muss und die für die Verwaltung von Berechtigungssätzen erforderlichen Berechtigungen benötigt, finden Sie weitere Informationen unterBeispiel 2: Erlauben Sie einem Benutzer, seine Berechtigungen AWS-Konten in IAM Identity Center zu verwalten.
Seit Oktober 2020 sind viele dieser Operationen nur über die AWS Konsole verfügbar. Diese Beispielrichtlinie umfasst „Lesen“ -Aktionen wie „Auflisten“, „Abrufen“ und „Suchen“, die für den fehlerfreien Betrieb der Konsole in diesem Fall relevant sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:ImportApplicationInstanceServiceProviderMetadata", "sso:DeleteApplicationInstance", "sso:DeleteProfile", "sso:DisassociateProfile", "sso:GetApplicationTemplate", "sso:UpdateApplicationInstanceServiceProviderConfiguration", "sso:UpdateApplicationInstanceDisplayData", "sso:DeleteManagedApplicationInstance", "sso:UpdateApplicationInstanceStatus", "sso:GetManagedApplicationInstance", "sso:UpdateManagedApplicationInstanceStatus", "sso:CreateManagedApplicationInstance", "sso:UpdateApplicationInstanceSecurityConfiguration", "sso:UpdateApplicationInstanceResponseConfiguration", "sso:GetApplicationInstance", "sso:CreateApplicationInstanceCertificate", "sso:UpdateApplicationInstanceResponseSchemaConfiguration", "sso:UpdateApplicationInstanceActiveCertificate", "sso:DeleteApplicationInstanceCertificate", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationTemplates", "sso:ListApplications", "sso:ListApplicationInstances", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso:ListProfileAssociations", "sso:ListInstances", "sso:GetProfile", "sso:GetSSOStatus", "sso:GetSsoConfiguration", "sso-directory:DescribeDirectory", "sso-directory:DescribeUsers", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
Beispiel 4: Erlauben Sie einem Benutzer, Benutzer und Gruppen in Ihrem Identity Center-Verzeichnis zu verwalten
Die folgende Berechtigungsrichtlinie gewährt einem Benutzer Berechtigungen, die es einem Benutzer ermöglichen, Benutzer und Gruppen in IAM Identity Center zu erstellen, anzuzeigen, zu ändern und zu löschen.
In einigen Fällen sind direkte Änderungen an Benutzern und Gruppen in IAM Identity Center eingeschränkt. Dies ist beispielsweise der Fall, wenn Active Directory oder ein externer Identitätsanbieter mit aktivierter automatischer Bereitstellung als Identitätsquelle ausgewählt wird.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:DisableUser", "sso-directory:EnableUser", "sso-directory:SearchGroups", "sso-directory:DeleteGroup", "sso-directory:AddMemberToGroup", "sso-directory:DescribeDirectory", "sso-directory:UpdateUser", "sso-directory:ListMembersInGroup", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:SearchUsers", "sso:ListDirectoryAssociations", "sso-directory:RemoveMemberFromGroup", "sso-directory:DeleteUser", "sso-directory:DescribeUsers", "sso-directory:UpdateGroup", "sso-directory:CreateGroup" ], "Resource": "*" } ] }
Für die Verwendung der IAM Identity Center-Konsole sind Berechtigungen erforderlich
Damit ein Benutzer fehlerfrei mit der IAM Identity Center-Konsole arbeiten kann, sind zusätzliche Berechtigungen erforderlich. Wenn eine IAM-Richtlinie erstellt wurde, die restriktiver ist als die erforderlichen Mindestberechtigungen, funktioniert die Konsole für Benutzer mit dieser Richtlinie nicht wie vorgesehen. Im folgenden Beispiel werden die Berechtigungen aufgeführt, die möglicherweise erforderlich sind, um einen fehlerfreien Betrieb innerhalb der IAM Identity Center-Konsole sicherzustellen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:DescribeAccountAssignmentCreationStatus", "sso:DescribeAccountAssignmentDeletionStatus", "sso:DescribePermissionSet", "sso:DescribePermissionSetProvisioningStatus", "sso:DescribePermissionsPolicies", "sso:DescribeRegisteredRegions", "sso:GetApplicationInstance", "sso:GetApplicationTemplate", "sso:GetInlinePolicyForPermissionSet", "sso:GetManagedApplicationInstance", "sso:GetMfaDeviceManagementForDirectory", "sso:GetPermissionSet", "sso:GetPermissionsPolicy", "sso:GetProfile", "sso:GetSharedSsoConfiguration", "sso:GetSsoConfiguration", "sso:GetSSOStatus", "sso:GetTrust", "sso:ListAccountAssignmentCreationStatus", "sso:ListAccountAssignmentDeletionStatus", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationInstances", "sso:ListApplications", "sso:ListApplicationTemplates", "sso:ListDirectoryAssociations", "sso:ListInstances", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetProvisioningStatus", "sso:ListPermissionSets", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListProfileAssociations", "sso:ListProfiles", "sso:ListTagsForResource", "sso-directory:DescribeDirectory", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso-directory:ListGroupsForUser", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
