Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan peran terkait layanan untuk IAM Pusat Identitas
AWS IAM Identity Center menggunakan AWS Identity and Access Management (IAM) peran terkait layanan. Peran terkait layanan adalah jenis peran unik yang ditautkan langsung ke Pusat IAM Identitas. IAM Ini telah ditentukan oleh Pusat IAM Identitas dan mencakup semua izin yang diperlukan layanan untuk memanggil lainnya AWS layanan atas nama Anda. Untuk informasi selengkapnya, lihat Memahami peran terkait layanan di Pusat Identitas IAM.
Peran terkait layanan membuat pengaturan Pusat IAM Identitas lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. IAMPusat Identitas mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya Pusat IAM Identitas yang dapat mengambil perannya. Izin yang ditetapkan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas lain mana pun. IAM
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat AWS Layanan yang Bekerja dengan IAM dan mencari layanan yang memiliki Ya di kolom Peran Tertaut Layanan. Pilih Ya bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.
Izin peran terkait layanan untuk Pusat Identitas IAM
IAMPusat Identitas menggunakan peran terkait layanan bernama AWSServiceRoleForSSOuntuk memberikan izin Pusat IAM Identitas untuk mengelola AWS sumber daya, termasuk IAM peran, kebijakan, dan SAML IDP atas nama Anda.
Peran AWSServiceRoleForSSO terkait layanan mempercayai layanan berikut untuk mengambil peran:
-
IAMPusat Identitas (awalan layanan:
sso)
Kebijakan izin peran AWSServiceRoleForSSO terkait layanan memungkinkan Pusat IAM Identitas menyelesaikan peran berikut di jalur “/aws-reserved/sso.amazonaws.com/” dan dengan awalan nama “_”: AWSReservedSSO
-
iam:AttachRolePolicy -
iam:CreateRole -
iam:DeleteRole -
iam:DeleteRolePermissionsBoundary -
iam:DeleteRolePolicy -
iam:DetachRolePolicy -
iam:GetRole -
iam:ListRolePolicies -
iam:PutRolePolicy -
iam:PutRolePermissionsBoundary -
iam:ListAttachedRolePolicies
Kebijakan izin peran AWSServiceRoleForSSO terkait layanan memungkinkan Pusat IAM Identitas menyelesaikan hal berikut pada SAML penyedia dengan awalan nama sebagai “_”: AWSSSO
-
iam:CreateSAMLProvider -
iam:GetSAMLProvider -
iam:UpdateSAMLProvider -
iam:DeleteSAMLProvider
Kebijakan izin peran AWSServiceRoleForSSO terkait layanan memungkinkan Pusat IAM Identitas menyelesaikan hal berikut di semua organisasi:
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
Kebijakan izin peran AWSServiceRoleForSSO terkait layanan memungkinkan Pusat IAM Identitas menyelesaikan hal berikut pada semua IAM peran (*):
-
iam:listRoles
Kebijakan izin peran AWSServiceRoleForSSO terkait layanan memungkinkan Pusat IAM Identitas untuk menyelesaikan hal berikut pada “arn:aws:iam: :*:role/ /sso.amazonaws.com/”: aws-service-role AWSServiceRoleForSSO
-
iam:GetServiceLinkedRoleDeletionStatus -
iam:DeleteServiceLinkedRole
Kebijakan izin peran memungkinkan Pusat IAM Identitas menyelesaikan tindakan berikut pada sumber daya.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }
Anda harus mengonfigurasi izin untuk mengizinkan IAM entitas (seperti pengguna, grup, atau peran) membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin peran terkait layanan di Panduan Pengguna. IAM
Membuat peran terkait layanan untuk IAM Pusat Identitas
Anda tidak perlu membuat peran terkait layanan secara manual. Setelah diaktifkan, Pusat IAM Identitas membuat peran terkait layanan di semua akun dalam organisasi di AWS Organizations. IAMIdentity Center juga menciptakan peran terkait layanan yang sama di setiap akun yang kemudian ditambahkan ke organisasi Anda. Peran ini memungkinkan Pusat IAM Identitas untuk mengakses sumber daya setiap akun atas nama Anda.
Catatan
-
Jika Anda masuk ke AWS Organizations akun manajemen, ini menggunakan peran Anda yang saat ini masuk dan bukan peran terkait layanan. Ini mencegah eskalasi hak istimewa.
-
Ketika Pusat IAM Identitas melakukan IAM operasi apa pun di AWS Organizations akun manajemen, semua operasi terjadi dengan menggunakan kredensi kepala sekolah. IAM Ini memungkinkan log in CloudTrail untuk memberikan visibilitas siapa yang membuat semua perubahan hak istimewa di akun manajemen.
penting
Jika Anda menggunakan layanan Pusat IAM Identitas sebelum 7 Desember 2017, ketika mulai mendukung peran terkait layanan, maka IAM Identity Center membuat AWSServiceRoleForSSO peran di akun Anda. Untuk mempelajari lebih lanjut, lihat Peran Baru Muncul di IAM Akun Saya.
Jika Anda menghapus peran tautan layanan ini dan kemudian perlu membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran di akun Anda.
Mengedit peran terkait layanan untuk IAM Pusat Identitas
IAMPusat Identitas tidak mengizinkan Anda mengedit peran AWSServiceRoleForSSO terkait layanan. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakanIAM. Untuk informasi selengkapnya, lihat Mengedit peran terkait layanan di IAMPanduan Pengguna.
Menghapus peran terkait layanan untuk Pusat Identitas IAM
Anda tidak perlu menghapus AWSServiceRoleForSSO peran secara manual. Ketika sebuah Akun AWS dihapus dari AWS organisasi, Pusat IAM Identitas secara otomatis membersihkan sumber daya dan menghapus peran terkait layanan dari itu Akun AWS.
Anda juga dapat menggunakan IAM konsol, konsol IAMCLI, atau IAM API untuk menghapus peran terkait layanan secara manual. Untuk melakukannya, Anda harus membersihkan sumber daya untuk peran tertaut layanan terlebih dahulu, lalu Anda dapat menghapusnya secara manual.
catatan
Jika layanan Pusat IAM Identitas menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
Untuk menghapus sumber daya Pusat IAM Identitas yang digunakan oleh AWSServiceRoleForSSO
-
Hapus akses pengguna dan grup ke Akun AWSuntuk semua pengguna dan grup yang memiliki akses ke Akun AWS.
-
Hapus set izin di Pusat IAM Identitasyang telah kamu kaitkan dengan Akun AWS.
Untuk menghapus peran terkait layanan secara manual menggunakan IAM
Gunakan IAM konsol, IAMCLI, atau IAM API untuk menghapus peran AWSServiceRoleForSSO terkait layanan. Untuk informasi selengkapnya, lihat Menghapus Peran Tertaut Layanan di Panduan Pengguna. IAM
