Conjuntos de permisos - AWSInicio de sesión único

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conjuntos de permisos

Un conjunto de permisos es una plantilla que se crea y mantiene que define una colección de una o másPolíticas de IAM. Los conjuntos de permisos simplifican la asignación deAWSpara usuarios y grupos de su organización. Por ejemplo, puede crear un conjunto de permisos «administrador de base de datos» que incluya directivas para administrarAWSRDS, DynamoDB y Aurora, y utilizar ese único conjunto de permisos para conceder acceso a una lista deAWScuentas dentro de suAWSOrganizaciónpara los administradores de bases de datos.

Cuando utilizaAWSSSO para asignar acceso de usuario o grupo a uno o variosAWS, especifique un conjunto de permisos para definir el acceso que tendrán esos usuarios o grupos en elAWScuentas. En ese momento,AWScrea SSOAWSRoles de IAM controlados por SSO en cada cuenta y adjunta las directivas especificadas en el conjunto de permisos a esos roles.AWS SSO administra el rol y permite que los usuarios autorizados que ha definido asuman el rol, a través delAWS(SSO)AWSCLI:  A medida que modifica el conjunto de permisos,AWSSSO garantiza que las directivas y roles de IAM correspondientes se actualicen en consecuencia.

Delegar administración de conjuntos de permisos

AWSSSO le permite delegar la administración de conjuntos de permisos y asignaciones en cuentas mediante la creación dePolíticas de IAMque hacen referencia a laNombres de recursos de Amazon (ARN)deAWSRecursos de SSO Por ejemplo, puede crear directivas que permitan a diferentes administradores administrar asignaciones en cuentas especificadas para conjuntos de permisos con etiquetas específicas.

Para crear este tipo de directivas, puede seguir uno de estos tres métodos.

  • (recomendado)Conjuntos de permisosinAWSSSO, cada uno con una directiva diferente, y asigne los conjuntos de permisos a diferentes usuarios o grupos. Esto le permite administrar los permisos administrativos para los usuarios que inician sesión con elAWSFuente de identidad SSO.

  • CrearPolíticas personalizadasen IAM y, a continuación, adjuntarlos a las funciones de IAM que asumen los administradores. Esto permiteUsuarios de IAMorUsuarios federados de IAMDe aAsumir el rolpara obtener suAWSPermisos administrativos de SSO.

  • CrearPolíticas personalizadasen IAM y, a continuación, adjuntarlos a los usuarios de IAM que utilice paraAWSPropósitos de administrador de SSO. Esto le permite proporcionar a los usuarios individuales de IAM específicosAWSPermisos administrativos de SSO.

importante

AWSdistinguen entre mayúsculas y minúsculas.

A continuación se muestra el caso adecuado para hacer referencia a laAWSConjunto de permisos SSO y tipos de recursos de cuenta.

Tipos de recurso ARN Teclas de contexto
PermissionSet arn: $ {Partición} :sso። :PermissionSet/$ {instanceId} /$ {PermissionSetID} aws:ResourceTag/${TagKey}
Cuenta arn: $ {Partition} :sso። :account/$ {accountId} No aplicable