Acciones Tipos de recurso Claves de condición

Acciones, recursos y claves de condición para AWS IAM Identity Center (sucesor de AWS Single Sign-On)

AWS IAM Identity Center (sucesor de AWS Single Sign-On) (prefijo de servicio: sso) proporciona las siguientes claves de contexto de condición, recursos y acciones específicas de servicios para usarlas en las políticas de permisos de IAM.

Referencias:

Obtenga información para configurar este servicio.
Vea una lista de las operaciones de API disponibles para este servicio.
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.

Temas

Acciones definidas por AWS IAM Identity Center (sucesor de AWS Single Sign-On)
Tipos de recurso definidos por AWS IAM Identity Center (sucesor deAWS Single Sign-On)
Claves de condición de AWS IAM Identity Center (sucesor de AWS Single Sign-On)

Acciones definidas por AWS IAM Identity Center (sucesor de AWS Single Sign-On)

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones	Descripción	Nivel de acceso	Tipos de recursos (*necesarios)	Claves de condición	Acciones dependientes
AssociateDirectory	Concede permiso para conectar un directorio que utilizará AWS IAM Identity Center	Escritura			ds:AuthorizeApplication
AssociateProfile	Otorga permiso para crear una asociación entre un usuario o grupo del directorio y un perfil	Escritura
AttachCustomerManagedPolicyReferenceToPermissionSet	Concede permiso para adjuntar una referencia de política administrada por el cliente a un conjunto de permisos	Administración de permisos	Instance*
AttachCustomerManagedPolicyReferenceToPermissionSet		Administración de permisos	PermissionSet*
AttachManagedPolicyToPermissionSet	Otorga permiso para adjuntar una política administrada de AWS a un conjunto de permisos.	Administración de permisos	Instance*
AttachManagedPolicyToPermissionSet		Administración de permisos	PermissionSet*
CreateAccountAssignment	Otorga permiso para asignar acceso a una entidad principal para una Cuenta de AWS especificada mediante un conjunto de permisos especificado.	Escritura	Account*
			Instance*
			PermissionSet*
CreateApplication	Concede permiso para crear una aplicación.	Escritura	ApplicationProvider*
			Instance*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateApplicationAssignment	Concede permiso para crear una asignación de la aplicación	Escritura	Application*
CreateApplicationAssignment	Concede permiso para crear una asignación de la aplicación	Escritura		sso:ApplicationAccount
CreateApplicationInstance	Otorga permiso para agregar una instancia de aplicación a AWS IAM Identity Center	Escritura
CreateApplicationInstanceCertificate	Otorga permiso para agregar un certificado nuevo para una instancia de aplicación	Escritura
CreateInstance	Concede permiso para crear una instancia de centro de identidad	Escritura	Instance*		iam:CreateServiceLinkedRole organizations:DescribeOrganization
CreateInstance		Escritura		aws:RequestTag/${TagKey} aws:TagKeys
CreateInstanceAccessControlAttributeConfiguration	Concede el permiso para habilitar la instancia para ABAC y especificar los atributos.	Escritura	Instance*		iam:AttachRolePolicy iam:CreateRole iam:DeleteRole iam:DeleteRolePolicy iam:DetachRolePolicy iam:GetRole iam:ListAttachedRolePolicies iam:ListRolePolicies iam:PutRolePolicy iam:UpdateAssumeRolePolicy
CreateManagedApplicationInstance	Otorga permiso para agregar una instancia de aplicación administrada a AWS IAM Identity Center	Escritura
CreatePermissionSet	Otorga permiso para crear un conjunto de permisos	Write	Instance*
			PermissionSet*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateProfile	Otorga permiso para crear un perfil para una instancia de aplicación	Write
CreateTrust	Otorga permiso para crear una confianza de federación en una cuenta de destino	Escritura
CreateTrustedTokenIssuer	Concede permiso para crear un emisor de token de confianza para una instancia	Escritura	Instance*
CreateTrustedTokenIssuer		Escritura		aws:RequestTag/${TagKey} aws:TagKeys
DeleteAccountAssignment	Otorga permiso para eliminar el acceso de una entidad principal a una Cuenta de AWS especificada mediante un conjunto de permisos especificado.	Escritura	Account*
			Instance*
			PermissionSet*
DeleteApplication	Concede permiso para eliminar una aplicación.	Escritura	Application*
DeleteApplication	Concede permiso para eliminar una aplicación.	Escritura		sso:ApplicationAccount
DeleteApplicationAccessScope	Concede permiso para eliminar el ámbito del acceso a una aplicación	Escritura	Application*
DeleteApplicationAccessScope		Escritura		sso:ApplicationAccount
DeleteApplicationAssignment	Concede permiso para eliminar una asignación de la aplicación	Escritura	Application*
DeleteApplicationAssignment		Escritura		sso:ApplicationAccount
DeleteApplicationAuthenticationMethod	Concede permiso para eliminar un método de autenticación a una aplicación	Escritura	Application*
DeleteApplicationAuthenticationMethod		Escritura		sso:ApplicationAccount
DeleteApplicationGrant	Concede permiso para eliminar una concesión de una aplicación	Escritura	Application*
DeleteApplicationGrant		Escritura		sso:ApplicationAccount
DeleteApplicationInstance	Otorga permiso para eliminar la instancia de aplicación	Write
DeleteApplicationInstanceCertificate	Otorga permiso para eliminar un certificado inactivo o caducado de la instancia de aplicación	Escritura
DeleteInlinePolicyFromPermissionSet	Otorga permiso para eliminar la política en línea de un conjunto de permisos especificado	Escritura	Instance*
DeleteInlinePolicyFromPermissionSet		Escritura	PermissionSet*
DeleteInstance	Concede permiso para eliminar una instancia del centro de identidad	Escritura	Instance*
DeleteInstanceAccessControlAttributeConfiguration	Concede el permiso para desactivar ABAC y quitar la lista de atributos para la instancia.	Write	Instance*
DeleteManagedApplicationInstance	Otorga permiso para eliminar la instancia de aplicación administrada	Write
DeletePermissionSet	Otorga permiso para eliminar un conjunto de permisos	Escritura	Instance*
DeletePermissionSet	Otorga permiso para eliminar un conjunto de permisos	Escritura	PermissionSet*
DeletePermissionsBoundaryFromPermissionSet	Concede permiso para eliminar el límite de permisos de un conjunto de permisos	Administración de permisos	Instance*
DeletePermissionsBoundaryFromPermissionSet		Administración de permisos	PermissionSet*
DeletePermissionsPolicy	Otorga permiso para eliminar la política de permisos asociada a un conjunto de permisos	Permissions management
DeleteProfile	Otorga permiso para eliminar el perfil de una instancia de aplicación	Escritura
DeleteTrustedTokenIssuer	Concede permiso para eliminar un emisor de token de confianza para una instancia	Escritura	TrustedTokenIssuer*
DescribeAccountAssignmentCreationStatus	Otorga permiso para describir el estado de la solicitud de creación de asignaciones	Leer	Instance*
DescribeAccountAssignmentDeletionStatus	Otorga permiso para describir el estado de una solicitud de eliminación de asignaciones	Leer	Instance*
DescribeApplication	Concede permiso para obtener información sobre una aplicación	Leer	Application*
DescribeApplication		Leer		sso:ApplicationAccount
DescribeApplicationAssignment	Concede permiso para recuperar una asignación de la aplicación	Leer	Application*
DescribeApplicationAssignment		Leer		sso:ApplicationAccount
DescribeApplicationProvider	Concede el permiso para describir un proveedor de la aplicación	Leer	ApplicationProvider*
DescribeDirectories	Concede permiso para obtener información acerca de los directorios de esta cuenta	Leer
DescribeInstance	Concede permiso para obtener información acerca de una instancia del centro de identificación	Leer	Instance*
DescribeInstanceAccessControlAttributeConfiguration	Concede el permiso para obtener la lista de atributos utilizados por la instancia para ABAC.	Read	Instance*
DescribePermissionSet	Otorga permiso para describir un conjunto de permisos	Leer	Instance*
DescribePermissionSet	Otorga permiso para describir un conjunto de permisos	Leer	PermissionSet*
DescribePermissionSetProvisioningStatus	Otorga permiso para describir el estado de la solicitud de aprovisionamiento de conjuntos de permisos	Leer	Instance*
DescribePermissionsPolicies	Otorga permiso para recuperar todas las política de permisos asociadas a un conjunto de permisos	Leer
DescribeRegisteredRegions	Otorga permiso para obtener las regiones en las que su organización ha habilitado AWS IAM Identity Center	Leer
DescribeTrustedTokenIssuer	Concede permiso para describir un emisor de token de confianza para una instancia	Leer	TrustedTokenIssuer*
DescribeTrusts	Concede permiso para obtener información acerca de las relaciones de confianza de esta cuenta	Leer
DetachCustomerManagedPolicyReferenceFromPermissionSet	Concede permiso para desasociar una referencia de política administrada por el cliente de un conjunto de permisos	Administración de permisos	Instance*
DetachCustomerManagedPolicyReferenceFromPermissionSet		Administración de permisos	PermissionSet*
DetachManagedPolicyFromPermissionSet	Otorga permiso para desvincular la política administrada de AWS adjunta del conjunto de permisos especificado.	Administración de permisos	Instance*
DetachManagedPolicyFromPermissionSet		Administración de permisos	PermissionSet*
DisassociateDirectory	Concede permiso para desasociar un directorio que utilizará AWS IAM Identity Center	Escritura			ds:UnauthorizeApplication
DisassociateProfile	Otorga permiso para desasociar a un usuario o grupo de directorio de un perfil	Escritura
GetApplicationAccessScope	Concede permiso para obtener un ámbito de acceso a una aplicación	Leer	Application*
GetApplicationAccessScope		Leer		sso:ApplicationAccount
GetApplicationAssignmentConfiguration	Concede permiso para leer configuraciones de asignación para una aplicación	Leer	Application*
GetApplicationAssignmentConfiguration		Leer		sso:ApplicationAccount
GetApplicationAuthenticationMethod	Concede permiso para obtener un método de autenticación para una aplicación	Leer	Application*
GetApplicationAuthenticationMethod		Leer		sso:ApplicationAccount
GetApplicationGrant	Concede permiso para obtener detalles sobre una subvención que pertenece a una aplicación	Leer	Application*
GetApplicationGrant		Leer		sso:ApplicationAccount
GetApplicationInstance	Otorga permiso para recuperar detalles de una instancia de aplicación	Read
GetApplicationTemplate	Otorga permiso para recuperar los detalles de la plantilla de aplicación	Leer
GetInlinePolicyForPermissionSet	Otorga permiso para obtener la directiva en línea asignada al conjunto de permisos	Leer	Instance*
GetInlinePolicyForPermissionSet		Leer	PermissionSet*
GetManagedApplicationInstance	Otorga permiso para recuperar detalles de una instancia de aplicación	Read
GetMfaDeviceManagementForDirectory	Otorga permiso para recuperar la configuración de administración de dispositivos MFA para el directorio	Read
GetPermissionSet	Otorga permiso para recuperar detalles de un conjunto de permisos	Leer
GetPermissionsBoundaryForPermissionSet	Concede permiso para obtener el límite de permisos de un conjunto de permisos	Leer	Instance*
GetPermissionsBoundaryForPermissionSet		Leer	PermissionSet*
GetPermissionsPolicy	Otorga permiso para recuperar todos las políticas de permiso asociadas a un conjunto de permisos	Read			sso:DescribePermissionsPolicies
GetProfile	Otorga permiso para recuperar un perfil para una instancia de aplicación	Leer
GetSSOStatus	Otorga permiso para comprobar si AWS IAM Identity Center está habilitado	Leer
GetSharedSsoConfiguration	Otorga permiso para recuperar la configuración compartida para la instancia de SSO actual	Read
GetSsoConfiguration	Otorga permiso para recuperar la configuración de la instancia de SSO actual	Read
GetTrust	Otorga permiso para recuperar la confianza de federación en una cuenta de destino	Read
ImportApplicationInstanceServiceProviderMetadata	Otorga permiso para actualizar la instancia de aplicación mediante la carga de una aplicación de archivos de metadatos de SAML proporcionado por el proveedor de servicios	Escritura
ListAccountAssignmentCreationStatus	Otorga permiso para mostrar el estado de las solicitudes de creación de asignaciones de la Cuenta de AWS para una instancia de SSO especificada.	Enumeración	Instance*
ListAccountAssignmentDeletionStatus	Otorga permiso para mostrar el estado de las solicitudes de eliminación de asignaciones de la Cuenta de AWS para una instancia de SSO especificada.	Enumeración	Instance*
ListAccountAssignments	Otorga permiso para mostrar al cesionario de la Cuenta de AWS especificada con el conjunto de permisos especificado.	Enumeración	Account*
			Instance*
			PermissionSet*
ListAccountAssignmentsForPrincipal	Concede permiso para enumerar las cuentas asignadas a un usuario o grupo	Enumeración	Instance*
ListAccountsForProvisionedPermissionSet	Otorga permiso para enumerar todas las cuentas de AWS en las que se aprovisionó el conjunto de permisos especificado	Enumeración	Instance*
ListAccountsForProvisionedPermissionSet		Enumeración	PermissionSet*
ListApplicationAccessScopes	Concede permiso para enumerar los ámbitos de acceso a una aplicación	Enumeración	Application*
ListApplicationAccessScopes		Enumeración		sso:ApplicationAccount
ListApplicationAssignments	Concede permiso para enumerar las asignaciones de la aplicación	Enumeración	Application*
ListApplicationAssignments		Enumeración		sso:ApplicationAccount
ListApplicationAssignmentsForPrincipal	Concede permiso para enumerar las aplicaciones asignadas a un usuario o grupo	Enumeración	Instance*
ListApplicationAssignmentsForPrincipal		Enumeración		sso:ApplicationAccount
ListApplicationAuthenticationMethods	Concede permiso para enumerar los métodos de autenticación a una aplicación	Enumeración	Application*
ListApplicationAuthenticationMethods		Enumeración		sso:ApplicationAccount
ListApplicationGrants	Concede el permiso para enumerar las concesiones de una aplicación	Enumeración	Application*
ListApplicationGrants		Enumeración		sso:ApplicationAccount
ListApplicationInstanceCertificates	Otorga permiso para recuperar todos los certificados de una determinada instancia de aplicación	Read
ListApplicationInstances	Otorga permiso para recuperar todas las instancias de aplicación	Enumeración			sso:GetApplicationInstance
ListApplicationProviders	Concede permiso para enumerar los proveedores de la aplicación	Enumeración	ApplicationProvider*
ListApplicationTemplates	Otorga permiso para recuperar todas las plantillas de aplicación admitidas	Enumeración			sso:GetApplicationTemplate
ListApplications	Concede permiso para recuperar todas las aplicaciones asociadas a la instancia de IAM Identity Center	Enumeración
ListCustomerManagedPolicyReferencesInPermissionSet	Otorga permiso para enumerar las referencias de políticas administradas por el cliente adjuntas un conjunto de permisos	Enumeración	Instance*
ListCustomerManagedPolicyReferencesInPermissionSet		Enumeración	PermissionSet*
ListDirectoryAssociations	Otorga permiso para recuperar detalles sobre el directorio conectado a AWS IAM Identity Center	Leer
ListInstances	Otorga permiso para enumerar las instancias de SSO a las que el autor de la llamada tiene acceso	Enumeración
ListManagedPoliciesInPermissionSet	Otorga permiso para enumerar las políticas administradas de AWS adjuntas a un conjunto de permisos especificado.	Enumeración	Instance*
ListManagedPoliciesInPermissionSet		Enumeración	PermissionSet*
ListPermissionSetProvisioningStatus	Otorga permiso para mostrar el estado de las solicitudes de aprovisionamiento de conjuntos de permisos para una instancia de SSO especificada	Enumeración	Instance*
ListPermissionSets	Otorga permiso para recuperar todos los conjuntos de permisos	Enumeración	Instance*
ListPermissionSetsProvisionedToAccount	Otorga permiso para enumerar todos los conjuntos de permisos que se aprovisionan en una Cuenta de AWS especificada.	Enumeración	Account*
ListPermissionSetsProvisionedToAccount		Enumeración	Instance*
ListProfileAssociations	Otorga permiso para recuperar el usuario o grupo de directorio asociado con el perfil	Read
ListProfiles	Otorga permiso para recuperar todos los perfiles de una instancia de aplicación	Enumeración			sso:GetProfile
ListTagsForResource	Otorga permiso para obtener una lista de las etiquetas que se asocian a un recurso especificado	Leer	Application
			Instance
			PermissionSet
			TrustedTokenIssuer
ListTrustedTokenIssuers	Concede permiso para enumerar emisores de tokens de confianza para una instancia	Enumeración	Instance*
ProvisionPermissionSet	Concede permiso para aprovisionar un conjunto de permisos especificado en el destino especificado	Escritura	Account*
			Instance*
			PermissionSet*
PutApplicationAccessScope	Concede permiso para crear o actualizar un ámbito de acceso a una aplicación	Escritura	Application*
PutApplicationAccessScope		Escritura		sso:ApplicationAccount
PutApplicationAssignmentConfiguration	Concede permiso para agregar configuraciones de asignación a una aplicación	Escritura	Application*
PutApplicationAssignmentConfiguration		Escritura		sso:ApplicationAccount
PutApplicationAuthenticationMethod	Concede permiso para crear o actualizar un método de autenticación para una aplicación	Escritura	Application*
PutApplicationAuthenticationMethod		Escritura		sso:ApplicationAccount
PutApplicationGrant	Concede permiso para crear o actualizar una concesión a una aplicación	Escritura	Application*
PutApplicationGrant		Escritura		sso:ApplicationAccount
PutInlinePolicyToPermissionSet	Otorga permiso para adjuntar una directiva en línea de IAM a un conjunto de permisos	Escritura	Instance*
PutInlinePolicyToPermissionSet		Escritura	PermissionSet*
PutMfaDeviceManagementForDirectory	Otorga permiso para poner la configuración de administración de dispositivos MFA para el directorio	Escritura
PutPermissionsBoundaryToPermissionSet	Concede permiso para agregar el límite de permisos a un conjunto de permisos	Administración de permisos	Instance*
PutPermissionsBoundaryToPermissionSet		Administración de permisos	PermissionSet*
PutPermissionsPolicy	Otorga permiso para agregar una directiva a un conjunto de permisos	Permissions management
SearchGroups	Otorga permiso para buscar grupos dentro del directorio asociado	Read			ds:DescribeDirectories
SearchUsers	Otorga permiso para buscar usuarios dentro del directorio asociado	Leer			ds:DescribeDirectories
StartSSO	Otorga permiso para inicializar AWS IAM Identity Center	Escritura			organizations:DescribeOrganization organizations:EnableAWSServiceAccess
TagResource	Otorga permiso para asociar un conjunto de etiquetas a un recurso especificado	Etiquetado	Application
			Instance
			PermissionSet
			TrustedTokenIssuer
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	Otorga permiso para desasociar un conjunto de etiquetas de un recurso especificado	Etiquetado	Application
			Instance
			PermissionSet
			TrustedTokenIssuer
				aws:TagKeys
UpdateApplication	Concede permiso para actualizar una aplicación	Escritura	Application*
UpdateApplication	Concede permiso para actualizar una aplicación	Escritura		sso:ApplicationAccount
UpdateApplicationInstanceActiveCertificate	Otorga permiso para establecer un certificado como el activo para esta instancia de aplicación	Write
UpdateApplicationInstanceDisplayData	Otorga permiso para actualizar los datos de visualización de una instancia de aplicación	Write
UpdateApplicationInstanceResponseConfiguration	Otorga permiso para actualizar la configuración de respuesta de federación para la instancia de aplicación	Write
UpdateApplicationInstanceResponseSchemaConfiguration	Otorga permiso para actualizar la configuración de respuesta de esquema de federación para la instancia de aplicación	Write
UpdateApplicationInstanceSecurityConfiguration	Otorga permiso para actualizar los detalles de seguridad para la instancia de aplicación	Write
UpdateApplicationInstanceServiceProviderConfiguration	Otorga permiso para actualizar la configuración relacionada con el proveedor de servicios para la instancia de aplicación	Write
UpdateApplicationInstanceStatus	Otorga permiso para actualizar el estado de una instancia de aplicación	Write
UpdateDirectoryAssociation	Otorga permiso para actualizar los mapeos de atributos de usuario de tu directorio conectado	Escritura
UpdateInstance	Concede permiso para actualizar una instancia del centro de identidad	Escritura	Instance*
UpdateInstanceAccessControlAttributeConfiguration	Concede el permiso para actualizar los atributos que se utilizarán con la instancia de ABAC.	Write	Instance*
UpdateManagedApplicationInstanceStatus	Otorga permiso para actualizar el estado de una instancia de aplicación administrada	Escritura
UpdatePermissionSet	Otorga permiso para actualizar el conjunto de permisos	Administración de permisos	Instance*
UpdatePermissionSet	Otorga permiso para actualizar el conjunto de permisos	Administración de permisos	PermissionSet*
UpdateProfile	Otorga permiso para actualizar el perfil de una instancia de aplicación	Write
UpdateSSOConfiguration	Otorga permiso para actualizar la configuración de la instancia de SSO actual	Write
UpdateTrust	Otorga permiso para actualizar la confianza de federación en una cuenta de destino	Escritura
UpdateTrustedTokenIssuer	Concede permiso para actualizar un emisor de token de confianza para una instancia	Escritura	TrustedTokenIssuer*

Tipos de recurso definidos por AWS IAM Identity Center (sucesor deAWS Single Sign-On)

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso	ARN	Claves de condición
PermissionSet	`arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}`	aws:ResourceTag/${TagKey}
Account	`arn:${Partition}:sso:::account/${AccountId}`
Instance	`arn:${Partition}:sso:::instance/${InstanceId}`	aws:ResourceTag/${TagKey}
Application	`arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}`	aws:ResourceTag/${TagKey} sso:ApplicationAccount
TrustedTokenIssuer	`arn:${Partition}:sso::${AccountId}:trustedTokenIssuer/${InstanceId}/${TrustedTokenIssuerId}`	aws:ResourceTag/${TagKey}
ApplicationProvider	`arn:${Partition}:sso::aws:applicationProvider/${ApplicationProviderId}`

Claves de condición de AWS IAM Identity Center (sucesor de AWS Single Sign-On)

AWS IAM Identity Center (sucesor de AWS Single Sign-On) define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición	Descripción	Tipo
aws:RequestTag/${TagKey}	Filtra el acceso por las etiquetas que se pasan en la solicitud	Cadena
aws:ResourceTag/${TagKey}	Filtra el acceso por las etiquetas asociadas al recurso	Cadena
aws:TagKeys	Filtra el acceso por las claves de etiquetas que se pasan en la solicitud	ArrayOfString
sso:ApplicationAccount	Filtra el acceso por cuenta que crea la aplicación	Cadena

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS IAM Access Analyzer

Directorio del Centro de identidades de AWS IAM (sucesor de AWS Single Sign-On)