Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWSSSOServiceRolePolicy
Deskripsi: Memberikan izin AWS SSO untuk mengelola AWS sumber daya, termasuk peran IAM, kebijakan, dan IDP SAMP atas nama Anda.
AWSSSOServiceRolePolicy
adalah kebijakan yang AWS dikelola.
Menggunakan kebijakan ini
Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan layanan melakukan tindakan atas nama Anda. Anda tidak dapat melampirkan kebijakan ini ke pengguna, grup, atau peran Anda.
Rincian kebijakan
-
Jenis: Kebijakan peran terkait layanan
-
Waktu pembuatan: 05 Desember 2017, 18:36 UTC
-
Waktu yang telah diedit: 20 Oktober 2022, 20.05 UTC
-
ARN:
arn:aws:iam::aws:policy/aws-service-role/AWSSSOServiceRolePolicy
Versi kebijakan
Versi kebijakan: v17 (default)
Versi default kebijakan adalah versi yang menentukan izin untuk kebijakan tersebut. Saat pengguna atau peran dengan kebijakan membuat permintaan untuk mengakses AWS sumber daya, AWS periksa versi default kebijakan untuk menentukan apakah akan mengizinkan permintaan tersebut.
Dokumen kebijakan JSON
{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "IAMRoleProvisioningActions", "Effect" : "Allow", "Action" : [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy", "iam:PutRolePermissionsBoundary", "iam:DeleteRolePermissionsBoundary" ], "Resource" : [ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition" : { "StringNotEquals" : { "aws:PrincipalOrgMasterAccountId" : "${aws:PrincipalAccount}" } } }, { "Sid" : "IAMRoleReadActions", "Effect" : "Allow", "Action" : [ "iam:GetRole", "iam:ListRoles" ], "Resource" : [ "*" ] }, { "Sid" : "IAMRoleCleanupActions", "Effect" : "Allow", "Action" : [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource" : [ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid" : "IAMSLRCleanupActions", "Effect" : "Allow", "Action" : [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource" : [ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid" : "IAMSAMLProviderCreationAction", "Effect" : "Allow", "Action" : [ "iam:CreateSAMLProvider" ], "Resource" : [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition" : { "StringNotEquals" : { "aws:PrincipalOrgMasterAccountId" : "${aws:PrincipalAccount}" } } }, { "Sid" : "IAMSAMLProviderUpdateAction", "Effect" : "Allow", "Action" : [ "iam:UpdateSAMLProvider" ], "Resource" : [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid" : "IAMSAMLProviderCleanupActions", "Effect" : "Allow", "Action" : [ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource" : [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect" : "Allow", "Action" : [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization" ], "Resource" : [ "*" ] }, { "Sid" : "AllowUnauthAppForDirectory", "Effect" : "Allow", "Action" : [ "ds:UnauthorizeApplication" ], "Resource" : [ "*" ] }, { "Sid" : "AllowDescribeForDirectory", "Effect" : "Allow", "Action" : [ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource" : [ "*" ] }, { "Sid" : "AllowDescribeAndListOperationsOnIdentitySource", "Effect" : "Allow", "Action" : [ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource" : [ "*" ] } ] }