Claves de condición, acciones y recursos de AWS SSO - AWS Identity and Access Management

Claves de condición, acciones y recursos de AWS SSO

AWS SSO (prefijo de servicio: sso) proporciona las siguientes claves de contexto de condición, acciones y recursos específicas de servicios para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS SSO

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateDirectory Conecta un directorio que AWS Single Sign-On va a utilizar. Escritura
AssociateProfile Crea una asociación entre un usuario o grupo del directorio y un perfil. Escritura
CreateApplicationInstance Añade una instancia de aplicación a AWS Single Sign-On. Escritura
CreateApplicationInstanceCertificate Añade un certificado nuevo para una instancia de aplicación. Escritura
CreateManagedApplicationInstance Agrega una instancia de aplicación administrada a AWS Single Sign-On. Escritura
CreatePermissionSet Crea un conjunto de permisos. Escritura
CreateProfile Crea un perfil para una instancia de aplicación. Escritura
CreateTrust Crea una confianza de federación en una cuenta de destino. Escritura
DeleteApplicationInstance Elimina la instancia de aplicación. Escritura
DeleteApplicationInstanceCertificate Elimina un certificado inactivo o caducado de la instancia de aplicación. Escritura
DeleteManagedApplicationInstance Elimina la instancia de aplicación administrada. Escritura
DeletePermissionSet Elimina un conjunto de permisos. Escritura
DeletePermissionsPolicy Elimina la política de permisos asociada a un conjunto de permisos. Escritura
DeleteProfile Elimina el perfil de una instancia de aplicación. Escritura
DescribePermissionsPolicies Recupera todas las política de permisos asociadas a un conjunto de permisos. Lectura
DescribeRegisteredRegions Obtiene las regiones en las que su organización ha habilitado AWS Single Sign-On Lectura
DisassociateDirectory Disocia un directorio que AWS Single Sign-On va a utilizar. Escritura
DisassociateProfile Disocia un usuario o un grupo de directorio de un perfil. Escritura
GetApplicationInstance Recupera detalles de una instancia de aplicación. Lectura
GetApplicationTemplate Recupera detalles de la plantilla de aplicación. Lectura
GetManagedApplicationInstance Recupera detalles de una instancia de aplicación. Lectura
GetMfaDeviceManagementForDirectory Recupera la configuración de administración de dispositivos Mfa para el directorio. Lectura
GetPermissionSet Recupera detalles de un conjunto de permisos. Lectura
GetPermissionsPolicy Recupera todas las políticas de permiso asociadas a un conjunto de permisos. Lectura

sso:DescribePermissionsPolicies

GetProfile Recupera un perfil para una instancia de aplicación. Lectura
GetSSOStatus Comprueba si AWS Single Sign-On está habilitado. Lectura
GetSharedSsoConfiguration Recupera una configuración compartida para la instancia SSO actual. Lectura
GetSsoConfiguration Recupera una configuración para la instancia SSO actual. Lectura
GetTrust Recupera la confianza de federación en una cuenta de destino. Lectura
ImportApplicationInstanceServiceProviderMetadata Actualiza la instancia de aplicación cargando una aplicación de archivos de metadatos de SAML proporcionada por el proveedor de servicios. Escritura
ListApplicationInstanceCertificates Recupera todos los certificados de una determinada instancia de aplicación. Lectura
ListApplicationInstances Recupera todas las instancias de aplicación. List

sso:GetApplicationInstance

ListApplicationTemplates Recupera todas las plantillas de aplicación compatibles. Lectura

sso:GetApplicationTemplate

ListApplications Recupera todas las aplicaciones compatibles. Lectura
ListDirectoryAssociations Recupera detalles sobre el directorio conectado a AWS Single Sign-On. Lectura
ListPermissionSets Recupera todos los conjuntos de permisos. Lectura
ListProfileAssociations Recupera el usuario o grupo de directorio asociado al perfil. Lectura
ListProfiles Recupera todos los perfiles de una instancia de aplicación. Lectura

sso:GetProfile

PutMfaDeviceManagementForDirectory Inserta la configuración de administración de dispositivos Mfa para el directorio. Escritura
PutPermissionsPolicy Añade una política a un conjunto de permisos. Escritura
StartSSO Inicializa AWS Single Sign-On. Escritura
UpdateApplicationInstanceActiveCertificate Establece un certificado como activo para esta instancia de aplicación. Escritura
UpdateApplicationInstanceDisplayData Actualiza los datos para mostrar de una instancia de aplicación. Escritura
UpdateApplicationInstanceResponseConfiguration Actualiza la configuración de respuesta de federación para la instancia de aplicación. Escritura
UpdateApplicationInstanceResponseSchemaConfiguration Actualiza la configuración del esquema de respuesta de la federación para la instancia de aplicación. Escritura
UpdateApplicationInstanceSecurityConfiguration Actualiza los detalles de seguridad de la instancia de aplicación. Escritura
UpdateApplicationInstanceServiceProviderConfiguration Actualiza la configuración relacionada con el proveedor de servicios para la instancia de aplicación. Escritura
UpdateApplicationInstanceStatus Actualiza el estado de una instancia de aplicación. Escritura
UpdateDirectoryAssociation Actualiza los mapeos de atributos de usuario del directorio conectado. Escritura
UpdateManagedApplicationInstanceStatus Actualiza el estado de una instancia de aplicación administrada. Escritura
UpdatePermissionSet Actualiza el conjunto de permisos. Escritura
UpdateProfile Actualiza el perfil de una instancia de aplicación. Escritura
UpdateSSOConfiguration Actualiza la configuración de la instancia SSO actual. Escritura
UpdateTrust Actualiza la confianza de federación en una cuenta de destino. Escritura

Tipos de recurso definidos por AWS SSO

AWS SSO no permite especificar un ARN de recurso en el elemento Resource de una instrucción de política de IAM. Para permitir el acceso a AWS SSO, especifique “Resource”: “*” en su política.

Claves de condición de AWS SSO

SSO no tiene claves de contexto específicas del servicio que se puedan utilizar en el elemento Condition de las declaraciones de política. Para obtener la lista de las claves de contexto globales que están disponibles para todos los servicios, consulte las claves disponibles para condiciones en la referencia de políticas de IAM.