Déléguer l'administration des ensembles d'autorisations

IAM Identity Center vous permet de déléguer la gestion des ensembles d'autorisations et des attributions dans les comptes en créant des politiques IAM qui font référence aux Amazon Resource Names (ARN) des ressources IAM Identity Center. Par exemple, vous pouvez créer des politiques qui permettent à différents administrateurs de gérer les attributions dans des comptes spécifiques pour des ensembles d'autorisations dotés de balises spécifiques.

Vous pouvez utiliser l'une des méthodes suivantes pour créer ces types de politiques.

• (Recommandé) Créez des ensembles d'autorisations dans IAM Identity Center, chacun avec une politique différente, et attribuez les ensembles d'autorisations à différents utilisateurs ou groupes. Cela vous permet de gérer les autorisations administratives pour les utilisateurs qui se connectent à l'aide de la source d'identité IAM Identity Center que vous avez choisie.

• Créez des politiques personnalisées dans IAM, puis associez-les aux rôles IAM assumés par vos administrateurs. Pour plus d'informations sur les rôles, consultez la section Rôles IAM pour obtenir les autorisations administratives IAM Identity Center qui leur ont été attribuées.

Important

Les ARN des ressources IAM Identity Center distinguent les majuscules et minuscules.

Ce qui suit montre le cas approprié pour faire référence à l'ensemble d'autorisations IAM Identity Center et aux types de ressources du compte.

Types de ressources	ARN	Clés de contexte
PermissionSet	arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}	aws:ResourceTag/${TagKey}
Compte	arn:${Partition}:sso:::account/${AccountId}	Ne s'applique pas