Acciones, recursos y claves de condición para AWS IAM Identity Center (sucesor de AWS Single Sign-On) - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS IAM Identity Center (sucesor de AWS Single Sign-On)

AWS IAM Identity Center (sucesor de AWS Single Sign-On) (prefijo de servicio: sso) proporciona las siguientes claves de contexto de condición, recursos y acciones específicas de servicios para usarlas en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS IAM Identity Center (sucesor de AWS Single Sign-On)

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateDirectory Concede permiso para conectar un directorio que utilizará AWS IAM Identity Center Escritura

ds:AuthorizeApplication

AssociateProfile Otorga permiso para crear una asociación entre un usuario o grupo del directorio y un perfil Escritura
AttachCustomerManagedPolicyReferenceToPermissionSet Concede permiso para adjuntar una referencia de política administrada por el cliente a un conjunto de permisos Permissions management

Instance*

PermissionSet*

AttachManagedPolicyToPermissionSet Otorga permiso para adjuntar una política administrada de AWS a un conjunto de permisos. Permissions management

Instance*

PermissionSet*

CreateAccountAssignment Otorga permiso para asignar acceso a una entidad principal para una Cuenta de AWS especificada mediante un conjunto de permisos especificado. Escritura

Account*

Instance*

PermissionSet*

CreateApplicationInstance Otorga permiso para agregar una instancia de aplicación a AWS IAM Identity Center Escritura
CreateApplicationInstanceCertificate Otorga permiso para agregar un certificado nuevo para una instancia de aplicación Write
CreateInstanceAccessControlAttributeConfiguration Concede el permiso para habilitar la instancia para ABAC y especificar los atributos. Escritura

Instance*

iam:AttachRolePolicy

iam:CreateRole

iam:DeleteRole

iam:DeleteRolePolicy

iam:DetachRolePolicy

iam:GetRole

iam:ListAttachedRolePolicies

iam:ListRolePolicies

iam:PutRolePolicy

iam:UpdateAssumeRolePolicy

CreateManagedApplicationInstance Otorga permiso para agregar una instancia de aplicación administrada a AWS IAM Identity Center Escritura
CreatePermissionSet Otorga permiso para crear un conjunto de permisos Write

Instance*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProfile Otorga permiso para crear un perfil para una instancia de aplicación Write
CreateTrust Otorga permiso para crear una confianza de federación en una cuenta de destino Escritura
DeleteAccountAssignment Otorga permiso para eliminar el acceso de una entidad principal a una Cuenta de AWS especificada mediante un conjunto de permisos especificado. Escritura

Account*

Instance*

PermissionSet*

DeleteApplicationInstance Otorga permiso para eliminar la instancia de aplicación Write
DeleteApplicationInstanceCertificate Otorga permiso para eliminar un certificado inactivo o caducado de la instancia de aplicación Escritura
DeleteInlinePolicyFromPermissionSet Otorga permiso para eliminar la política en linea de un conjunto de permisos especificado Escritura

Instance*

PermissionSet*

DeleteInstanceAccessControlAttributeConfiguration Concede el permiso para desactivar ABAC y quitar la lista de atributos para la instancia. Write

Instance*

DeleteManagedApplicationInstance Otorga permiso para eliminar la instancia de aplicación administrada Write
DeletePermissionSet Otorga permiso para eliminar un conjunto de permisos Escritura

Instance*

PermissionSet*

DeletePermissionsBoundaryFromPermissionSet Concede permiso para eliminar el límite de permisos de un conjunto de permisos Permissions management

Instance*

PermissionSet*

DeletePermissionsPolicy Otorga permiso para eliminar la política de permisos asociada a un conjunto de permisos Permissions management
DeleteProfile Otorga permiso para eliminar el perfil de una instancia de aplicación Escritura
DescribeAccountAssignmentCreationStatus Otorga permiso para describir el estado de la solicitud de creación de asignaciones Lectura

Instance*

DescribeAccountAssignmentDeletionStatus Otorga permiso para describir el estado de una solicitud de eliminación de asignaciones Lectura

Instance*

DescribeInstanceAccessControlAttributeConfiguration Concede el permiso para obtener la lista de atributos utilizados por la instancia para ABAC. Read

Instance*

DescribePermissionSet Otorga permiso para describir un conjunto de permisos Lectura

Instance*

PermissionSet*

DescribePermissionSetProvisioningStatus Otorga permiso para describir el estado de la solicitud de aprovisionamiento de conjuntos de permisos Lectura

Instance*

DescribePermissionsPolicies Otorga permiso para recuperar todas las política de permisos asociadas a un conjunto de permisos Lectura
DescribeRegisteredRegions Otorga permiso para obtener las regiones en las que su organización ha habilitado AWS IAM Identity Center Lectura
DetachCustomerManagedPolicyReferenceFromPermissionSet Concede permiso para desasociar una referencia de política administrada por el cliente de un conjunto de permisos Permissions management

Instance*

PermissionSet*

DetachManagedPolicyFromPermissionSet Otorga permiso para desvincular la política administrada de AWS adjunta del conjunto de permisos especificado. Permissions management

Instance*

PermissionSet*

DisassociateDirectory Concede permiso para desasociar un directorio que utilizará AWS IAM Identity Center Escritura

ds:UnauthorizeApplication

DisassociateProfile Otorga permiso para desasociar a un usuario o grupo de directorio de un perfil Write
GetApplicationInstance Otorga permiso para recuperar detalles de una instancia de aplicación Read
GetApplicationTemplate Otorga permiso para recuperar los detalles de la plantilla de aplicación Lectura
GetInlinePolicyForPermissionSet Otorga permiso para obtener la directiva en línea asignada al conjunto de permisos Lectura

Instance*

PermissionSet*

GetManagedApplicationInstance Otorga permiso para recuperar detalles de una instancia de aplicación Read
GetMfaDeviceManagementForDirectory Otorga permiso para recuperar la configuración de administración de dispositivos MFA para el directorio Read
GetPermissionSet Otorga permiso para recuperar detalles de un conjunto de permisos Lectura
GetPermissionsBoundaryForPermissionSet Concede permiso para obtener el límite de permisos de un conjunto de permisos Lectura

Instance*

PermissionSet*

GetPermissionsPolicy Otorga permiso para recuperar todos las políticas de permiso asociadas a un conjunto de permisos Read

sso:DescribePermissionsPolicies

GetProfile Otorga permiso para recuperar un perfil para una instancia de aplicación Lectura
GetSSOStatus Otorga permiso para comprobar si AWS IAM Identity Center está habilitado Lectura
GetSharedSsoConfiguration Otorga permiso para recuperar la configuración compartida para la instancia de SSO actual Read
GetSsoConfiguration Otorga permiso para recuperar la configuración de la instancia de SSO actual Read
GetTrust Otorga permiso para recuperar la confianza de federación en una cuenta de destino Read
ImportApplicationInstanceServiceProviderMetadata Otorga permiso para actualizar la instancia de aplicación mediante la carga de una aplicación de archivos de metadatos de SAML proporcionado por el proveedor de servicios Escritura
ListAccountAssignmentCreationStatus Otorga permiso para mostrar el estado de las solicitudes de creación de asignaciones de la Cuenta de AWS para una instancia de SSO especificada. List

Instance*

ListAccountAssignmentDeletionStatus Otorga permiso para mostrar el estado de las solicitudes de eliminación de asignaciones de la Cuenta de AWS para una instancia de SSO especificada. List

Instance*

ListAccountAssignments Otorga permiso para mostrar al cesionario de la Cuenta de AWS especificada con el conjunto de permisos especificado. List

Account*

Instance*

PermissionSet*

ListAccountsForProvisionedPermissionSet Otorga permiso para enumerar todas las cuentas de AWS en las que se aprovisionó el conjunto de permisos especificado List

Instance*

PermissionSet*

ListApplicationInstanceCertificates Otorga permiso para recuperar todos los certificados de una determinada instancia de aplicación Read
ListApplicationInstances Otorga permiso para recuperar todas las instancias de aplicación List

sso:GetApplicationInstance

ListApplicationTemplates Otorga permiso para recuperar todas las plantillas de aplicación admitidas List

sso:GetApplicationTemplate

ListApplications Otorga permiso para recuperar todas las aplicaciones admitidas List
ListCustomerManagedPolicyReferencesInPermissionSet Otorga permiso para enumerar las referencias de políticas administradas por el cliente adjuntas un conjunto de permisos List

Instance*

PermissionSet*

ListDirectoryAssociations Otorga permiso para recuperar detalles sobre el directorio conectado a AWS IAM Identity Center Lectura
ListInstances Otorga permiso para enumerar las instancias de SSO a las que el autor de la llamada tiene acceso List
ListManagedPoliciesInPermissionSet Otorga permiso para enumerar las políticas administradas de AWS adjuntas a un conjunto de permisos especificado. List

Instance*

PermissionSet*

ListPermissionSetProvisioningStatus Otorga permiso para mostrar el estado de las solicitudes de aprovisionamiento de conjuntos de permisos para una instancia de SSO especificada List

Instance*

ListPermissionSets Otorga permiso para recuperar todos los conjuntos de permisos List

Instance*

ListPermissionSetsProvisionedToAccount Otorga permiso para enumerar todos los conjuntos de permisos que se aprovisionan en una Cuenta de AWS especificada. List

Account*

Instance*

ListProfileAssociations Otorga permiso para recuperar el usuario o grupo de directorio asociado con el perfil Read
ListProfiles Otorga permiso para recuperar todos los perfiles de una instancia de aplicación List

sso:GetProfile

ListTagsForResource Otorga permiso para obtener una lista de las etiquetas que se asocian a un recurso especificado Lectura

Instance*

PermissionSet*

ProvisionPermissionSet Otorga permiso para aprovisionar un conjunto de permisos especificado en el destino especificado Escritura

Account*

Instance*

PermissionSet*

PutInlinePolicyToPermissionSet Otorga permiso para adjuntar una directiva en línea de IAM a un conjunto de permisos Escritura

Instance*

PermissionSet*

PutMfaDeviceManagementForDirectory Otorga permiso para poner la configuración de administración de dispositivos MFA para el directorio Escritura
PutPermissionsBoundaryToPermissionSet Concede permiso para agregar el límite de permisos a un conjunto de permisos Permissions management

Instance*

PermissionSet*

PutPermissionsPolicy Otorga permiso para agregar una directiva a un conjunto de permisos Permissions management
SearchGroups Otorga permiso para buscar grupos dentro del directorio asociado Read

ds:DescribeDirectories

SearchUsers Otorga permiso para buscar usuarios dentro del directorio asociado Lectura

ds:DescribeDirectories

StartSSO Otorga permiso para inicializar AWS IAM Identity Center Escritura

organizations:DescribeOrganization

organizations:EnableAWSServiceAccess

TagResource Otorga permiso para asociar un conjunto de etiquetas a un recurso especificado Etiquetado

Instance*

PermissionSet*

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Otorga permiso para desasociar un conjunto de etiquetas de un recurso especificado Etiquetado

Instance*

PermissionSet*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateApplicationInstanceActiveCertificate Otorga permiso para establecer un certificado como el activo para esta instancia de aplicación Write
UpdateApplicationInstanceDisplayData Otorga permiso para actualizar los datos de visualización de una instancia de aplicación Write
UpdateApplicationInstanceResponseConfiguration Otorga permiso para actualizar la configuración de respuesta de federación para la instancia de aplicación Write
UpdateApplicationInstanceResponseSchemaConfiguration Otorga permiso para actualizar la configuración de respuesta de esquema de federación para la instancia de aplicación Write
UpdateApplicationInstanceSecurityConfiguration Otorga permiso para actualizar los detalles de seguridad para la instancia de aplicación Write
UpdateApplicationInstanceServiceProviderConfiguration Otorga permiso para actualizar la configuración relacionada con el proveedor de servicios para la instancia de aplicación Write
UpdateApplicationInstanceStatus Otorga permiso para actualizar el estado de una instancia de aplicación Write
UpdateDirectoryAssociation Otorga permiso para actualizar los mapeos de atributos de usuario de tu directorio conectado Write
UpdateInstanceAccessControlAttributeConfiguration Concede el permiso para actualizar los atributos que se utilizarán con la instancia de ABAC. Write

Instance*

UpdateManagedApplicationInstanceStatus Otorga permiso para actualizar el estado de una instancia de aplicación administrada Escritura
UpdatePermissionSet Otorga permiso para actualizar el conjunto de permisos Permissions management

Instance*

PermissionSet*

UpdateProfile Otorga permiso para actualizar el perfil de una instancia de aplicación Write
UpdateSSOConfiguration Otorga permiso para actualizar la configuración de la instancia de SSO actual Write
UpdateTrust Otorga permiso para actualizar la confianza de federación en una cuenta de destino Escritura

Tipos de recurso definidos por AWS IAM Identity Center (sucesor deAWS Single Sign-On)

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
PermissionSet arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}

aws:ResourceTag/${TagKey}

Account arn:${Partition}:sso:::account/${AccountId}
Instance arn:${Partition}:sso:::instance/${InstanceId}

Claves de condición de AWS IAM Identity Center (sucesor de AWS Single Sign-On)

AWS IAM Identity Center (sucesor de AWS Single Sign-On) define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por las etiquetas que se pasan en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por las etiquetas asociadas al recurso Cadena
aws:TagKeys Filtra el acceso por las claves de etiquetas que se pasan en la solicitud ArrayOfString