Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en identidades para IAM Identity Center
En este tema se proporcionan ejemplos de políticas de IAM que puede crear para conceder permisos a los usuarios y roles para administrar IAM Identity Center.
importante
Le recomendamos que primero consulte los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de IAM Identity Center. Para obtener más información, consulte Información general sobre la administración de permisos de acceso para los recursos de IAM Identity Center.
En las secciones de este tema se explica lo siguiente:
Ejemplos de políticas personalizadas
En esta sección se proporcionan ejemplos de casos de uso habituales que requieren una política de IAM personalizada. Estas políticas de ejemplo son políticas basadas en la identidad, que no especifican el elemento de la entidad principal. Esto se debe a que, con una política basada en identidades, no se especifica la entidad principal que obtiene el permiso. En su lugar, usted adjunta la política a la entidad principal. Cuando se adjunta una política de permisos basada en la identidad a un rol de IAM, la entidad principal identificada en la política de confianza del rol obtiene los permisos. Puede crear políticas basadas en la identidad en IAM y adjuntarlas a los usuarios, grupos o roles. También puede aplicar estas políticas a los usuarios de IAM Identity Center al crear un conjunto de permisos en IAM Identity Center.
nota
Utilice estos ejemplos cuando cree políticas para su entorno y asegúrese de realizar pruebas tanto en casos positivos (“acceso concedido”) como negativos (“acceso denegado”) antes de implementar estas políticas en su entorno de producción. Para obtener más información sobre cómo probar las políticas de IAM, consulte Probar las políticas de IAM con el simulador de política de IAM en la Guía del usuario de IAM.
Temas
- Ejemplo 1: permitir que un usuario visualice IAM Identity Center
- Ejemplo 2: Permitir que un usuario gestione los permisos Cuentas de AWS en el Centro de identidades de IAM
- Ejemplo 3: permitir a un usuario administrar aplicaciones en IAM Identity Center
- Ejemplo 4: permitir a un usuario administrar usuarios y grupos en el directorio de Identity Center
Ejemplo 1: permitir que un usuario visualice IAM Identity Center
La siguiente política de permisos concede permisos de solo lectura a un usuario para que pueda visualizar todos los ajustes y la información del directorio configurados en IAM Identity Center.
nota
Esta política se proporciona únicamente con fines ilustrativos. En un entorno de producción, le recomendamos que utilice la política ViewOnlyAccess AWS gestionada del IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "ds:DescribeTrusts", "iam:ListPolicies", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListPermissionSets", "sso:DescribePermissionSet", "sso:GetInlinePolicyForPermissionSet", "sso-directory:DescribeDirectory", "sso-directory:SearchUsers", "sso-directory:SearchGroups" ], "Resource": "*" } ] }
Ejemplo 2: Permitir que un usuario gestione los permisos Cuentas de AWS en el Centro de identidades de IAM
La siguiente política de permisos permite a un usuario crear, administrar y desplegar conjuntos de permisos para sus Cuentas de AWS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AttachManagedPolicyToPermissionSet", "sso:CreateAccountAssignment", "sso:CreatePermissionSet", "sso:DeleteAccountAssignment", "sso:DeleteInlinePolicyFromPermissionSet", "sso:DeletePermissionSet", "sso:DetachManagedPolicyFromPermissionSet", "sso:ProvisionPermissionSet", "sso:PutInlinePolicyToPermissionSet", "sso:UpdatePermissionSet" ], "Resource": "*" }, { "Sid": "IAMListPermissions", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "AccessToSSOProvisionedRoles", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" }, { "Effect": "Allow", "Action": [ "iam:GetSAMLProvider" ], "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE" } ] }
nota
Los permisos adicionales que figuran en "Sid": "AccessToSSOProvisionedRoles" las secciones y son necesarios únicamente para que el usuario pueda crear asignaciones en la cuenta AWS Organizations de administración. "Sid": "IAMListPermissions" En algunos casos, es posible que también deba agregar iam:UpdateSAMLProvider a estas secciones.
Ejemplo 3: permitir a un usuario administrar aplicaciones en IAM Identity Center
La siguiente política de permisos concede permisos para que los usuarios visualicen y configuren aplicaciones en IAM Identity Center, incluidas las aplicaciones SaaS preintegradas del catálogo de IAM Identity Center.
nota
La operación sso:AssociateProfile utilizada en el siguiente ejemplo de política es necesaria para administrar las asignaciones de usuarios y grupos a las aplicaciones. También permite al usuario asignar usuarios y grupos Cuentas de AWS mediante los conjuntos de permisos existentes. Si un usuario debe gestionar el Cuenta de AWS acceso desde el Centro de identidades de IAM y necesita los permisos necesarios para gestionar los conjuntos de permisos, consulteEjemplo 2: Permitir que un usuario gestione los permisos Cuentas de AWS en el Centro de identidades de IAM.
Desde octubre de 2020, muchas de estas operaciones solo están disponibles a través de la consola AWS . Este ejemplo de política incluye acciones de “lectura”, como enumerar, obtener y buscar, que, en este caso, son relevantes para que la consola funcione sin errores.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:ImportApplicationInstanceServiceProviderMetadata", "sso:DeleteApplicationInstance", "sso:DeleteProfile", "sso:DisassociateProfile", "sso:GetApplicationTemplate", "sso:UpdateApplicationInstanceServiceProviderConfiguration", "sso:UpdateApplicationInstanceDisplayData", "sso:DeleteManagedApplicationInstance", "sso:UpdateApplicationInstanceStatus", "sso:GetManagedApplicationInstance", "sso:UpdateManagedApplicationInstanceStatus", "sso:CreateManagedApplicationInstance", "sso:UpdateApplicationInstanceSecurityConfiguration", "sso:UpdateApplicationInstanceResponseConfiguration", "sso:GetApplicationInstance", "sso:CreateApplicationInstanceCertificate", "sso:UpdateApplicationInstanceResponseSchemaConfiguration", "sso:UpdateApplicationInstanceActiveCertificate", "sso:DeleteApplicationInstanceCertificate", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationTemplates", "sso:ListApplications", "sso:ListApplicationInstances", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso:ListProfileAssociations", "sso:ListInstances", "sso:GetProfile", "sso:GetSSOStatus", "sso:GetSsoConfiguration", "sso-directory:DescribeDirectory", "sso-directory:DescribeUsers", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
Ejemplo 4: permitir a un usuario administrar usuarios y grupos en el directorio de Identity Center
La siguiente política de permisos concede permisos para permitir que un usuario pueda crear, visualizar, modificar y eliminar usuarios y grupos en IAM Identity Center.
En algunos casos, las modificaciones directas de los usuarios y grupos de IAM Identity Center están restringidas. Por ejemplo, cuando se selecciona Active Directory o un proveedor de identidades externo con el aprovisionamiento automático activado como fuente de identidad.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:DisableUser", "sso-directory:EnableUser", "sso-directory:SearchGroups", "sso-directory:DeleteGroup", "sso-directory:AddMemberToGroup", "sso-directory:DescribeDirectory", "sso-directory:UpdateUser", "sso-directory:ListMembersInGroup", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:SearchUsers", "sso:ListDirectoryAssociations", "sso-directory:RemoveMemberFromGroup", "sso-directory:DeleteUser", "sso-directory:DescribeUsers", "sso-directory:UpdateGroup", "sso-directory:CreateGroup" ], "Resource": "*" } ] }
Permisos necesarios para usar la consola de IAM Identity Center
Para que un usuario pueda trabajar con la consola de IAM Identity Center sin errores, necesita permisos adicionales. Si se ha creado una política de IAM más restrictiva que los permisos mínimos requeridos, la consola no funcionará como es debido para los usuarios con esa política. El siguiente ejemplo muestra el conjunto de permisos que podrían ser necesarios para garantizar un funcionamiento sin errores en la consola de IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:DescribeAccountAssignmentCreationStatus", "sso:DescribeAccountAssignmentDeletionStatus", "sso:DescribePermissionSet", "sso:DescribePermissionSetProvisioningStatus", "sso:DescribePermissionsPolicies", "sso:DescribeRegisteredRegions", "sso:GetApplicationInstance", "sso:GetApplicationTemplate", "sso:GetInlinePolicyForPermissionSet", "sso:GetManagedApplicationInstance", "sso:GetMfaDeviceManagementForDirectory", "sso:GetPermissionSet", "sso:GetPermissionsPolicy", "sso:GetProfile", "sso:GetSharedSsoConfiguration", "sso:GetSsoConfiguration", "sso:GetSSOStatus", "sso:GetTrust", "sso:ListAccountAssignmentCreationStatus", "sso:ListAccountAssignmentDeletionStatus", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationInstances", "sso:ListApplications", "sso:ListApplicationTemplates", "sso:ListDirectoryAssociations", "sso:ListInstances", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetProvisioningStatus", "sso:ListPermissionSets", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListProfileAssociations", "sso:ListProfiles", "sso:ListTagsForResource", "sso-directory:DescribeDirectory", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso-directory:ListGroupsForUser", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
