Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis identitas untuk Pusat Identitas IAM
Topik ini memberikan contoh IAM kebijakan yang dapat Anda buat untuk memberikan izin kepada pengguna dan peran untuk mengelola Pusat IAM Identitas.
penting
Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke sumber daya Pusat IAM Identitas Anda. Untuk informasi selengkapnya, lihat Ikhtisar mengelola izin akses ke sumber daya Pusat IAM Identitas Anda.
Bagian dalam topik ini membahas hal berikut:
Contoh kebijakan khusus
Bagian ini memberikan contoh kasus penggunaan umum yang memerlukan IAM kebijakan khusus. Contoh kebijakan ini adalah kebijakan berbasis identitas, yang tidak menentukan elemen Principal. Ini karena dengan kebijakan berbasis identitas, Anda tidak menentukan kepala sekolah yang mendapat izin. Sebaliknya, Anda melampirkan kebijakan ke kepala sekolah. Saat Anda melampirkan kebijakan izin berbasis identitas ke IAM peran, prinsipal yang diidentifikasi dalam kebijakan kepercayaan peran akan mendapatkan izin tersebut. Anda dapat membuat kebijakan berbasis identitas IAM dan melampirkannya ke pengguna, grup, dan/atau peran. Anda juga dapat menerapkan kebijakan ini ke pengguna Pusat IAM Identitas saat membuat set izin di Pusat IAM Identitas.
catatan
Gunakan contoh ini saat Anda membuat kebijakan untuk lingkungan Anda dan pastikan untuk menguji kasus pengujian positif (“akses diberikan”) dan negatif (“akses ditolak”) sebelum menerapkan kebijakan ini di lingkungan produksi. Untuk informasi selengkapnya tentang IAM kebijakan pengujianIAM, lihat IAM Kebijakan pengujian dengan simulator kebijakan di Panduan IAM Pengguna.
Topik
Contoh 1: Izinkan pengguna untuk melihat Pusat IAM Identitas
Kebijakan izin berikut memberikan izin hanya-baca kepada pengguna sehingga mereka dapat melihat semua pengaturan dan informasi direktori yang dikonfigurasi di Pusat Identitas. IAM
catatan
Kebijakan ini disediakan untuk tujuan contoh saja. Dalam lingkungan produksi, kami menyarankan Anda menggunakan kebijakan ViewOnlyAccess AWS terkelola untuk Pusat IAM Identitas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ds:DescribeDirectories", "ds:DescribeTrusts", "iam:ListPolicies", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListPermissionSets", "sso:DescribePermissionSet", "sso:GetInlinePolicyForPermissionSet", "sso-directory:DescribeDirectory", "sso-directory:SearchUsers", "sso-directory:SearchGroups" ], "Resource": "*" } ] }
Contoh 2: Izinkan pengguna untuk mengelola izin Akun AWS di Pusat IAM Identitas
Kebijakan izin berikut memberikan izin untuk memungkinkan pengguna membuat, mengelola, dan menerapkan set izin untuk Anda. Akun AWS
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AttachManagedPolicyToPermissionSet", "sso:CreateAccountAssignment", "sso:CreatePermissionSet", "sso:DeleteAccountAssignment", "sso:DeleteInlinePolicyFromPermissionSet", "sso:DeletePermissionSet", "sso:DetachManagedPolicyFromPermissionSet", "sso:ProvisionPermissionSet", "sso:PutInlinePolicyToPermissionSet", "sso:UpdatePermissionSet" ], "Resource": "*" }, { "Sid": "IAMListPermissions", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "AccessToSSOProvisionedRoles", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:GetRole", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" }, { "Effect": "Allow", "Action": [ "iam:GetSAMLProvider" ], "Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE" } ] }
catatan
Izin tambahan yang tercantum di bawah"Sid": "IAMListPermissions", dan "Sid": "AccessToSSOProvisionedRoles" bagian diperlukan hanya untuk memungkinkan pengguna membuat tugas di akun AWS Organizations manajemen. Dalam kasus tertentu, Anda mungkin juga perlu menambahkan iam:UpdateSAMLProvider ke bagian ini.
Contoh 3: Izinkan pengguna untuk mengelola aplikasi di Pusat IAM Identitas
Kebijakan izin berikut memberikan izin untuk memungkinkan pengguna melihat dan mengonfigurasi aplikasi di Pusat IAM Identitas, termasuk aplikasi SaaS pra-terintegrasi dari dalam katalog Pusat Identitas. IAM
catatan
sso:AssociateProfileOperasi yang digunakan dalam contoh kebijakan berikut diperlukan untuk pengelolaan penugasan pengguna dan grup untuk aplikasi. Ini juga memungkinkan pengguna untuk menetapkan pengguna dan grup Akun AWS dengan menggunakan set izin yang ada. Jika pengguna harus mengelola Akun AWS akses dalam Pusat IAM Identitas, dan memerlukan izin yang diperlukan untuk mengelola set izin, lihatContoh 2: Izinkan pengguna untuk mengelola izin Akun AWS di Pusat IAM Identitas.
Pada Oktober 2020, banyak dari operasi ini hanya tersedia melalui AWS konsol. Kebijakan contoh ini mencakup tindakan “baca” seperti daftar, dapatkan, dan pencarian, yang relevan dengan pengoperasian konsol yang bebas kesalahan untuk kasus ini.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:ImportApplicationInstanceServiceProviderMetadata", "sso:DeleteApplicationInstance", "sso:DeleteProfile", "sso:DisassociateProfile", "sso:GetApplicationTemplate", "sso:UpdateApplicationInstanceServiceProviderConfiguration", "sso:UpdateApplicationInstanceDisplayData", "sso:DeleteManagedApplicationInstance", "sso:UpdateApplicationInstanceStatus", "sso:GetManagedApplicationInstance", "sso:UpdateManagedApplicationInstanceStatus", "sso:CreateManagedApplicationInstance", "sso:UpdateApplicationInstanceSecurityConfiguration", "sso:UpdateApplicationInstanceResponseConfiguration", "sso:GetApplicationInstance", "sso:CreateApplicationInstanceCertificate", "sso:UpdateApplicationInstanceResponseSchemaConfiguration", "sso:UpdateApplicationInstanceActiveCertificate", "sso:DeleteApplicationInstanceCertificate", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationTemplates", "sso:ListApplications", "sso:ListApplicationInstances", "sso:ListDirectoryAssociations", "sso:ListProfiles", "sso:ListProfileAssociations", "sso:ListInstances", "sso:GetProfile", "sso:GetSSOStatus", "sso:GetSsoConfiguration", "sso-directory:DescribeDirectory", "sso-directory:DescribeUsers", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
Contoh 4: Izinkan pengguna mengelola pengguna dan grup di direktori Pusat Identitas
Kebijakan izin berikut memberikan izin untuk memungkinkan pengguna membuat, melihat, memodifikasi, dan menghapus pengguna dan grup di IAM Pusat Identitas.
Dalam beberapa kasus, modifikasi langsung ke pengguna dan grup di Pusat IAM Identitas dibatasi. Misalnya, ketika Active Directory, atau penyedia identitas eksternal dengan Penyediaan Otomatis diaktifkan, dipilih sebagai sumber identitas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso-directory:ListGroupsForUser", "sso-directory:DisableUser", "sso-directory:EnableUser", "sso-directory:SearchGroups", "sso-directory:DeleteGroup", "sso-directory:AddMemberToGroup", "sso-directory:DescribeDirectory", "sso-directory:UpdateUser", "sso-directory:ListMembersInGroup", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:SearchUsers", "sso:ListDirectoryAssociations", "sso-directory:RemoveMemberFromGroup", "sso-directory:DeleteUser", "sso-directory:DescribeUsers", "sso-directory:UpdateGroup", "sso-directory:CreateGroup" ], "Resource": "*" } ] }
Izin yang diperlukan untuk menggunakan konsol Pusat IAM Identitas
Agar pengguna dapat bekerja dengan konsol Pusat IAM Identitas tanpa kesalahan, izin tambahan diperlukan. Jika IAM kebijakan telah dibuat yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksud untuk pengguna dengan kebijakan tersebut. Contoh berikut mencantumkan kumpulan izin yang mungkin diperlukan untuk memastikan operasi bebas kesalahan dalam konsol Pusat IAM Identitas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:DescribeAccountAssignmentCreationStatus", "sso:DescribeAccountAssignmentDeletionStatus", "sso:DescribePermissionSet", "sso:DescribePermissionSetProvisioningStatus", "sso:DescribePermissionsPolicies", "sso:DescribeRegisteredRegions", "sso:GetApplicationInstance", "sso:GetApplicationTemplate", "sso:GetInlinePolicyForPermissionSet", "sso:GetManagedApplicationInstance", "sso:GetMfaDeviceManagementForDirectory", "sso:GetPermissionSet", "sso:GetPermissionsPolicy", "sso:GetProfile", "sso:GetSharedSsoConfiguration", "sso:GetSsoConfiguration", "sso:GetSSOStatus", "sso:GetTrust", "sso:ListAccountAssignmentCreationStatus", "sso:ListAccountAssignmentDeletionStatus", "sso:ListAccountAssignments", "sso:ListAccountsForProvisionedPermissionSet", "sso:ListApplicationInstanceCertificates", "sso:ListApplicationInstances", "sso:ListApplications", "sso:ListApplicationTemplates", "sso:ListDirectoryAssociations", "sso:ListInstances", "sso:ListManagedPoliciesInPermissionSet", "sso:ListPermissionSetProvisioningStatus", "sso:ListPermissionSets", "sso:ListPermissionSetsProvisionedToAccount", "sso:ListProfileAssociations", "sso:ListProfiles", "sso:ListTagsForResource", "sso-directory:DescribeDirectory", "sso-directory:DescribeGroups", "sso-directory:DescribeUsers", "sso-directory:ListGroupsForUser", "sso-directory:ListMembersInGroup", "sso-directory:SearchGroups", "sso-directory:SearchUsers" ], "Resource": "*" } ] }
