AWS IAM ID 센터의 작업, 리소스 및 조건 키 ( AWS 싱글 사인온의 후속)

AWS IAM Identity Center (Single AWS Sign-On의 후속) (서비스 접두사:sso) 는 IAM 권한 정책에 사용할 수 있는 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다.

참조:

이 서비스의 구성 방법을 알아봅니다.
이 서비스에 사용 가능한 API 작업 목록을 봅니다.
IAM 권한 정책을 사용하여 이 서비스와 리소스를 보호하는 방법을 알아봅니다.

주제

AWS IAM ID 센터에서 정의한 작업 (싱글 사인온의 후속) AWS
AWS IAM ID 센터에서 정의한 리소스 유형 (싱글 사인온의 후속) AWS
AWS IAM ID 센터의 조건 키 (싱글 사인온의 후속) AWS

AWS IAM ID 센터에서 정의한 작업 (싱글 사인온의 후속) AWS

IAM 정책 설명의 Action 요소에서는 다음 작업을 지정할 수 있습니다. 정책을 사용하여 AWS에서 작업할 수 있는 권한을 부여합니다. 정책에서 작업을 사용하면 일반적으로 이름이 같은 API 작업 또는 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.

작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource 요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 리소스 열에 리소스 유형이 포함되어 있으면 해당 작업 시 문에서 해당 유형의 ARN을 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM 정책의 Resource 요소로 리소스 액세스를 제한하는 경우, 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.

작업 테이블의 조건 키 열에는 정책 설명의 Condition 요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.

참고

리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.

다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.

작업	설명	액세스 레벨	리소스 유형(*필수)	조건 키	종속 작업
AssociateDirectory	IAM ID 센터에서 사용할 디렉터리에 연결할 권한을 부여합니다. AWS	쓰기			ds:AuthorizeApplication
AssociateProfile	디렉터리 사용자 또는 그룹과 프로파일 간의 연결을 생성할 권한을 부여합니다.	쓰기
AttachCustomerManagedPolicyReferenceToPermissionSet	고객 관리형 정책 참조를 권한 세트에 연결하는 권한을 부여합니다.	권한 관리	Instance*
AttachCustomerManagedPolicyReferenceToPermissionSet	고객 관리형 정책 참조를 권한 세트에 연결하는 권한을 부여합니다.	권한 관리	PermissionSet*
AttachManagedPolicyToPermissionSet	권한 집합에 AWS 관리형 정책을 연결할 수 있는 권한을 부여합니다.	권한 관리	Instance*
AttachManagedPolicyToPermissionSet	권한 집합에 AWS 관리형 정책을 연결할 수 있는 권한을 부여합니다.	권한 관리	PermissionSet*
CreateAccountAssignment	지정된 권한 집합을 AWS 계정 사용하여 지정된 주체에게 액세스 권한을 할당할 수 있는 권한을 부여합니다.	쓰기	Account*
			Instance*
			PermissionSet*
CreateApplication	애플리케이션을 생성할 수 있는 권한을 부여합니다.	쓰기	ApplicationProvider*
			Instance*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateApplicationAssignment	애플리케이션 할당을 생성할 수 있는 권한을 부여합니다.	쓰기	Application*
CreateApplicationAssignment	애플리케이션 할당을 생성할 수 있는 권한을 부여합니다.	쓰기		sso:ApplicationAccount
CreateApplicationInstance	AWS IAM Identity Center에 애플리케이션 인스턴스를 추가할 수 있는 권한을 부여합니다.	쓰기
CreateApplicationInstanceCertificate	애플리케이션 인스턴스에 대한 새 인증서를 추가할 수 있는 권한을 부여합니다.	쓰기
CreateInstance	Identity Center 인스턴스를 생성할 수 있는 권한을 부여합니다.	쓰기	Instance*		iam:CreateServiceLinkedRole organizations:DescribeOrganization
CreateInstance	Identity Center 인스턴스를 생성할 수 있는 권한을 부여합니다.	쓰기		aws:RequestTag/${TagKey} aws:TagKeys
CreateInstanceAccessControlAttributeConfiguration	ABAC에 대해 인스턴스를 활성화하고 속성을 지정할 수 있는 권한을 부여합니다.	쓰기	Instance*		iam:AttachRolePolicy iam:CreateRole iam:DeleteRole iam:DeleteRolePolicy iam:DetachRolePolicy iam:GetRole iam:ListAttachedRolePolicies iam:ListRolePolicies iam:PutRolePolicy iam:UpdateAssumeRolePolicy
CreateManagedApplicationInstance	AWS IAM Identity Center에 관리형 애플리케이션 인스턴스를 추가할 수 있는 권한을 부여합니다.	쓰기
CreatePermissionSet	사용 권한 세트를 생성할 수 있는 권한을 부여합니다.	Write	Instance*
			PermissionSet*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateProfile	애플리케이션 인스턴스에 대한 프로파일을 생성할 수 있는 권한을 부여합니다.	Write
CreateTrust	대상 계정에서 연동 신뢰를 생성할 수 있는 권한을 부여합니다.	쓰기
CreateTrustedTokenIssuer	인스턴스에 대한 신뢰할 수 있는 토큰 발급자를 생성할 수 있는 권한을 부여합니다.	쓰기	Instance*
CreateTrustedTokenIssuer	인스턴스에 대한 신뢰할 수 있는 토큰 발급자를 생성할 수 있는 권한을 부여합니다.	쓰기		aws:RequestTag/${TagKey} aws:TagKeys
DeleteAccountAssignment	지정된 권한 집합을 AWS 계정 사용하여 지정된 주체로부터 보안 주체의 액세스 권한을 삭제할 권한을 부여합니다.	쓰기	Account*
			Instance*
			PermissionSet*
DeleteApplication	애플리케이션을 삭제할 수 있는 권한을 부여합니다.	쓰기	Application*
DeleteApplication	애플리케이션을 삭제할 수 있는 권한을 부여합니다.	쓰기		sso:ApplicationAccount
DeleteApplicationAccessScope	애플리케이션에 대한 액세스 범위를 삭제할 수 있는 권한을 부여합니다.	쓰기	Application*
DeleteApplicationAccessScope	애플리케이션에 대한 액세스 범위를 삭제할 수 있는 권한을 부여합니다.	쓰기		sso:ApplicationAccount
DeleteApplicationAssignment	애플리케이션 할당을 삭제할 수 있는 권한을 부여합니다.	쓰기	Application*
DeleteApplicationAssignment	애플리케이션 할당을 삭제할 수 있는 권한을 부여합니다.	쓰기		sso:ApplicationAccount
DeleteApplicationAuthenticationMethod	애플리케이션에 대한 인증 방법을 삭제할 수 있는 권한을 부여합니다.	쓰기	Application*
DeleteApplicationAuthenticationMethod	애플리케이션에 대한 인증 방법을 삭제할 수 있는 권한을 부여합니다.	쓰기		sso:ApplicationAccount
DeleteApplicationGrant	애플리케이션에서 권한 부여를 삭제할 수 있는 권한을 부여합니다.	쓰기	Application*
DeleteApplicationGrant	애플리케이션에서 권한 부여를 삭제할 수 있는 권한을 부여합니다.	쓰기		sso:ApplicationAccount
DeleteApplicationInstance	애플리케이션 인스턴스를 삭제할 수 있는 권한을 부여합니다.	Write
DeleteApplicationInstanceCertificate	애플리케이션 인스턴스에서 비활성 또는 만료된 인증서를 삭제할 수 있는 권한을 부여합니다.	쓰기
DeleteInlinePolicyFromPermissionSet	지정된 권한 집합에서 인라인 정책을 삭제할 수 있는 권한을 부여합니다.	쓰기	Instance*
DeleteInlinePolicyFromPermissionSet	지정된 권한 집합에서 인라인 정책을 삭제할 수 있는 권한을 부여합니다.	쓰기	PermissionSet*
DeleteInstance	Identity Center 인스턴스를 삭제할 수 있는 권한을 부여합니다.	쓰기	Instance*
DeleteInstanceAccessControlAttributeConfiguration	ABAC를 비활성화하고 인스턴스에 대한 속성 목록을 제거할 수 있는 권한을 부여합니다.	Write	Instance*
DeleteManagedApplicationInstance	관리형 애플리케이션 인스턴스를 삭제할 수 있는 권한을 부여합니다.	Write
DeletePermissionSet	사용 권한 세트를 삭제할 수 있는 권한을 부여합니다.	쓰기	Instance*
DeletePermissionSet	사용 권한 세트를 삭제할 수 있는 권한을 부여합니다.	쓰기	PermissionSet*
DeletePermissionsBoundaryFromPermissionSet	권한 경계를 권한 세트에서 제거하는 권한을 부여합니다.	권한 관리	Instance*
DeletePermissionsBoundaryFromPermissionSet	권한 경계를 권한 세트에서 제거하는 권한을 부여합니다.	권한 관리	PermissionSet*
DeletePermissionsPolicy	권한 세트와 연결된 권한 정책을 삭제할 수 있는 권한을 부여합니다.	권한 관리
DeleteProfile	애플리케이션 인스턴스에 대한 프로파일을 삭제할 수 있는 권한을 부여합니다.	쓰기
DeleteTrustedTokenIssuer	인스턴스에 대한 신뢰할 수 있는 토큰 발급자를 삭제할 수 있는 권한을 부여합니다.	쓰기	TrustedTokenIssuer*
DescribeAccountAssignmentCreationStatus	할당 생성 요청의 상태를 설명할 수 있는 권한을 부여합니다.	읽기	Instance*
DescribeAccountAssignmentDeletionStatus	할당 삭제 요청의 상태를 설명할 수 있는 권한을 부여합니다.	읽기	Instance*
DescribeApplication	애플리케이션에 대한 정보를 얻을 수 있는 권한을 부여합니다.	읽기	Application*
DescribeApplication	애플리케이션에 대한 정보를 얻을 수 있는 권한을 부여합니다.	읽기		sso:ApplicationAccount
DescribeApplicationAssignment	애플리케이션 할당을 검색할 수 있는 권한을 부여합니다.	읽기	Application*
DescribeApplicationAssignment	애플리케이션 할당을 검색할 수 있는 권한을 부여합니다.	읽기		sso:ApplicationAccount
DescribeApplicationProvider	애플리케이션 제공자를 설명할 수 있는 권한을 부여합니다.	읽기	ApplicationProvider*
DescribeDirectories	이 계정의 디렉터리에 대한 정보를 가져올 수 있는 권한을 부여합니다.	읽기
DescribeInstance	Identity Center 인스턴스에 대한 정보를 얻을 수 있는 권한을 부여합니다.	읽기	Instance*
DescribeInstanceAccessControlAttributeConfiguration	ABAC에 대해 인스턴스에서 사용하는 속성 목록을 가져올 수 있는 권한을 부여합니다.	Read	Instance*
DescribePermissionSet	권한 세트를 설명할 수 있는 권한을 부여합니다.	읽기	Instance*
DescribePermissionSet	권한 세트를 설명할 수 있는 권한을 부여합니다.	읽기	PermissionSet*
DescribePermissionSetProvisioningStatus	지정된 권한 집합 프로비저닝 요청의 상태를 설명할 수 있는 권한을 부여합니다.	읽기	Instance*
DescribePermissionsPolicies	권한 세트와 연결된 모든 권한 정책을 검색할 수 있는 권한을 부여합니다.	읽기
DescribeRegisteredRegions	조직에서 AWS IAM Identity Center를 활성화한 지역을 확보할 수 있는 권한을 부여합니다.	읽기
DescribeTrustedTokenIssuer	인스턴스에 대한 신뢰할 수 있는 토큰 발급자를 설명할 수 있는 권한을 부여합니다.	읽기	TrustedTokenIssuer*
DescribeTrusts	이 계정의 신뢰 관계에 대한 정보를 가져올 수 있는 권한을 부여합니다.	읽기
DetachCustomerManagedPolicyReferenceFromPermissionSet	고객 관리형 정책 참조를 권한 세트에서 분리하는 권한을 부여합니다.	권한 관리	Instance*
DetachCustomerManagedPolicyReferenceFromPermissionSet	고객 관리형 정책 참조를 권한 세트에서 분리하는 권한을 부여합니다.	권한 관리	PermissionSet*
DetachManagedPolicyFromPermissionSet	연결된 AWS 관리형 정책을 지정된 권한 집합에서 분리할 수 있는 권한을 부여합니다.	권한 관리	Instance*
DetachManagedPolicyFromPermissionSet	연결된 AWS 관리형 정책을 지정된 권한 집합에서 분리할 수 있는 권한을 부여합니다.	권한 관리	PermissionSet*
DisassociateDirectory	AWS IAM Identity Center에서 사용할 디렉터리의 연결을 끊을 수 있는 권한을 부여합니다.	쓰기			ds:UnauthorizeApplication
DisassociateProfile	프로파일에서 디렉터리 사용자 또는 그룹을 연결 해제할 수 있는 권한을 부여합니다.	쓰기
GetApplicationAccessScope	애플리케이션에 대한 액세스 범위를 가져올 수 있는 권한을 부여합니다.	읽기	Application*
GetApplicationAccessScope	애플리케이션에 대한 액세스 범위를 가져올 수 있는 권한을 부여합니다.	읽기		sso:ApplicationAccount
GetApplicationAssignmentConfiguration	애플리케이션에 할당 구성을 읽을 수 있는 권한을 부여합니다.	읽기	Application*
GetApplicationAssignmentConfiguration	애플리케이션에 할당 구성을 읽을 수 있는 권한을 부여합니다.	읽기		sso:ApplicationAccount
GetApplicationAuthenticationMethod	애플리케이션에 대한 인증 방법을 가져올 수 있는 권한을 부여합니다.	읽기	Application*
GetApplicationAuthenticationMethod	애플리케이션에 대한 인증 방법을 가져올 수 있는 권한을 부여합니다.	읽기		sso:ApplicationAccount
GetApplicationGrant	애플리케이션에 속하는 권한 부여에 대한 세부 정보를 얻을 수 있는 권한을 부여합니다.	읽기	Application*
GetApplicationGrant	애플리케이션에 속하는 권한 부여에 대한 세부 정보를 얻을 수 있는 권한을 부여합니다.	읽기		sso:ApplicationAccount
GetApplicationInstance	애플리케이션 인스턴스에 대한 세부 정보를 검색할 수 있는 권한을 부여합니다.	Read
GetApplicationTemplate	애플리케이션 템플릿 세부 정보를 검색할 수 있는 권한을 부여합니다.	읽기
GetInlinePolicyForPermissionSet	권한 집합에 할당된 인라인 정책을 가져올 수 있는 권한을 부여합니다.	읽기	Instance*
GetInlinePolicyForPermissionSet	권한 집합에 할당된 인라인 정책을 가져올 수 있는 권한을 부여합니다.	읽기	PermissionSet*
GetManagedApplicationInstance	애플리케이션 인스턴스에 대한 세부 정보를 검색할 수 있는 권한을 부여합니다.	Read
GetMfaDeviceManagementForDirectory	디렉터리에 대한 Mfa Device Management 설정을 검색할 수 있는 권한을 부여합니다.	Read
GetPermissionSet	권한 세트의 세부 정보를 검색할 수 있는 권한을 부여합니다.	읽기
GetPermissionsBoundaryForPermissionSet	권한 세트의 권한 경계를 가져오는 권한을 부여합니다.	읽기	Instance*
GetPermissionsBoundaryForPermissionSet	권한 세트의 권한 경계를 가져오는 권한을 부여합니다.	읽기	PermissionSet*
GetPermissionsPolicy	권한 세트와 연결된 모든 권한 정책을 검색할 수 있는 권한을 부여합니다.	Read			sso:DescribePermissionsPolicies
GetProfile	애플리케이션 인스턴스에 대한 프로파일을 검색할 수 있는 권한을 부여합니다.	읽기
GetSSOStatus	AWS IAM ID 센터가 활성화되었는지 확인할 수 있는 권한을 부여합니다.	읽기
GetSharedSsoConfiguration	현재 SSO 인스턴스에 대한 공유 구성을 검색할 수 있는 권한을 부여합니다.	Read
GetSsoConfiguration	현재 SSO 인스턴스에 대한 구성을 검색할 수 있는 권한을 부여합니다.	Read
GetTrust	대상 계정의 연동 신뢰를 검색할 수 있는 권한을 부여합니다.	Read
ImportApplicationInstanceServiceProviderMetadata	서비스 공급자가 제공한 애플리케이션 SAML 메타데이터 파일을 업로드하여 애플리케이션 인스턴스를 업데이트할 수 있는 권한을 부여합니다.	쓰기
ListAccountAssignmentCreationStatus	지정된 SSO 인스턴스에 대한 AWS 계정 할당 생성 요청 상태를 나열할 권한을 부여합니다.	나열	Instance*
ListAccountAssignmentDeletionStatus	지정된 SSO 인스턴스에 대한 AWS 계정 할당 삭제 요청 상태를 나열할 권한을 부여합니다.	나열	Instance*
ListAccountAssignments	지정된 권한 집합과 AWS 계정 함께 지정된 사람의 임무 책임자를 나열할 수 있는 권한을 부여합니다.	나열	Account*
			Instance*
			PermissionSet*
ListAccountAssignmentsForPrincipal	사용자 또는 그룹에 할당된 계정을 나열할 수 있는 권한을 부여합니다.	나열	Instance*
ListAccountsForProvisionedPermissionSet	지정된 사용 권한 집합이 제공된 모든 AWS 계정을 나열할 수 있는 권한을 부여합니다.	나열	Instance*
ListAccountsForProvisionedPermissionSet	지정된 사용 권한 집합이 제공된 모든 AWS 계정을 나열할 수 있는 권한을 부여합니다.	나열	PermissionSet*
ListApplicationAccessScopes	애플리케이션에 대한 액세스 범위를 나열할 수 있는 권한을 부여합니다.	나열	Application*
ListApplicationAccessScopes	애플리케이션에 대한 액세스 범위를 나열할 수 있는 권한을 부여합니다.	나열		sso:ApplicationAccount
ListApplicationAssignments	애플리케이션 할당을 나열할 수 있는 권한을 부여합니다.	나열	Application*
ListApplicationAssignments	애플리케이션 할당을 나열할 수 있는 권한을 부여합니다.	나열		sso:ApplicationAccount
ListApplicationAssignmentsForPrincipal	사용자 또는 그룹에 할당된 애플리케이션을 나열할 수 있는 권한을 부여합니다.	나열	Instance*
ListApplicationAssignmentsForPrincipal	사용자 또는 그룹에 할당된 애플리케이션을 나열할 수 있는 권한을 부여합니다.	나열		sso:ApplicationAccount
ListApplicationAuthenticationMethods	애플리케이션에 대한 인증 방법을 나열할 수 있는 권한을 부여합니다.	나열	Application*
ListApplicationAuthenticationMethods	애플리케이션에 대한 인증 방법을 나열할 수 있는 권한을 부여합니다.	나열		sso:ApplicationAccount
ListApplicationGrants	애플리케이션에서 권한 부여를 나열할 수 있는 권한을 부여합니다.	나열	Application*
ListApplicationGrants	애플리케이션에서 권한 부여를 나열할 수 있는 권한을 부여합니다.	나열		sso:ApplicationAccount
ListApplicationInstanceCertificates	지정된 애플리케이션 인스턴스에 대한 모든 인증서를 검색할 수 있는 권한을 부여합니다.	Read
ListApplicationInstances	모든 애플리케이션 인스턴스를 검색할 수 있는 권한을 부여합니다.	나열			sso:GetApplicationInstance
ListApplicationProviders	애플리케이션 제공자를 나열할 수 있는 권한을 부여합니다.	나열	ApplicationProvider*
ListApplicationTemplates	지원되는 모든 애플리케이션 템플릿을 검색할 수 있는 권한을 부여합니다.	나열			sso:GetApplicationTemplate
ListApplications	IAM Identity Center 인스턴스와 연결된 모든 애플리케이션을 검색할 수 있는 권한 부여	나열
ListCustomerManagedPolicyReferencesInPermissionSet	권한 세트에 연결된 고객 관리형 정책 참조를 나열하는 권한을 부여합니다.	나열	Instance*
ListCustomerManagedPolicyReferencesInPermissionSet	권한 세트에 연결된 고객 관리형 정책 참조를 나열하는 권한을 부여합니다.	나열	PermissionSet*
ListDirectoryAssociations	AWS IAM Identity Center에 연결된 디렉터리에 대한 세부 정보를 검색할 권한을 부여합니다.	읽기
ListInstances	호출자가 액세스할 수 있는 SSO 인스턴스를 나열할 수 있는 권한을 부여합니다.	나열
ListManagedPoliciesInPermissionSet	지정된 권한 집합에 연결된 AWS 관리형 정책을 나열할 권한을 부여합니다.	나열	Instance*
ListManagedPoliciesInPermissionSet	지정된 권한 집합에 연결된 AWS 관리형 정책을 나열할 권한을 부여합니다.	나열	PermissionSet*
ListPermissionSetProvisioningStatus	지정된 SSO 인스턴스에 대한 권한 집합 프로비저닝 요청의 상태를 나열할 수 있는 권한을 부여합니다.	나열	Instance*
ListPermissionSets	모든 권한 세트를 검색할 수 있는 권한을 부여합니다.	나열	Instance*
ListPermissionSetsProvisionedToAccount	지정된 권한 집합에 프로비전된 모든 권한 집합을 나열할 권한을 부여합니다. AWS 계정	나열	Account*
ListPermissionSetsProvisionedToAccount	지정된 권한 집합에 프로비전된 모든 권한 집합을 나열할 권한을 부여합니다. AWS 계정	나열	Instance*
ListProfileAssociations	프로파일과 연결된 디렉터리 사용자 또는 그룹을 검색할 수 있는 권한을 부여합니다.	Read
ListProfiles	애플리케이션 인스턴스에 대한 모든 프로파일을 검색할 수 있는 권한을 부여합니다.	나열			sso:GetProfile
ListTagsForResource	지정된 리소스에 연결된 태그를 나열할 권한을 부여합니다.	읽기	Application
			Instance
			PermissionSet
			TrustedTokenIssuer
ListTrustedTokenIssuers	인스턴스에 대한 신뢰할 수 있는 토큰 발급자를 나열할 수 있는 권한을 부여합니다.	나열	Instance*
ProvisionPermissionSet	지정된 권한 집합을 지정된 대상에 프로비저닝할 수 있는 권한을 부여합니다.	쓰기	Account*
			Instance*
			PermissionSet*
PutApplicationAccessScope	애플리케이션에 대한 액세스 범위를 생성/업데이트할 수 있는 권한을 부여합니다.	쓰기	Application*
PutApplicationAccessScope	애플리케이션에 대한 액세스 범위를 생성/업데이트할 수 있는 권한을 부여합니다.	쓰기		sso:ApplicationAccount
PutApplicationAssignmentConfiguration	애플리케이션에 할당 구성을 추가할 권한을 부여합니다.	쓰기	Application*
PutApplicationAssignmentConfiguration	애플리케이션에 할당 구성을 추가할 권한을 부여합니다.	쓰기		sso:ApplicationAccount
PutApplicationAuthenticationMethod	애플리케이션에 대한 인증 방법을 생성/업데이트할 수 있는 권한을 부여합니다.	쓰기	Application*
PutApplicationAuthenticationMethod	애플리케이션에 대한 인증 방법을 생성/업데이트할 수 있는 권한을 부여합니다.	쓰기		sso:ApplicationAccount
PutApplicationGrant	애플리케이션에 대한 권한 부여를 생성/업데이트할 수 있는 권한을 부여합니다.	쓰기	Application*
PutApplicationGrant	애플리케이션에 대한 권한 부여를 생성/업데이트할 수 있는 권한을 부여합니다.	쓰기		sso:ApplicationAccount
PutInlinePolicyToPermissionSet	권한 집합에 IAM 인라인 정책을 연결할 수 있는 권한을 부여합니다.	쓰기	Instance*
PutInlinePolicyToPermissionSet	권한 집합에 IAM 인라인 정책을 연결할 수 있는 권한을 부여합니다.	쓰기	PermissionSet*
PutMfaDeviceManagementForDirectory	디렉터리에 대한 Mfa Device Management 설정을 지정할 수 있는 권한을 부여합니다.	쓰기
PutPermissionsBoundaryToPermissionSet	권한 경계를 권한 세트에 추가하는 권한을 부여합니다.	권한 관리	Instance*
PutPermissionsBoundaryToPermissionSet	권한 경계를 권한 세트에 추가하는 권한을 부여합니다.	권한 관리	PermissionSet*
PutPermissionsPolicy	권한 세트에 정책을 추가할 수 있는 권한을 부여합니다.	권한 관리
SearchGroups	연결된 디렉터리 내에서 그룹을 검색할 수 있는 권한을 부여합니다.	Read			ds:DescribeDirectories
SearchUsers	연결된 디렉터리 내에서 사용자를 검색할 수 있는 권한을 부여합니다.	읽기			ds:DescribeDirectories
StartSSO	IAM ID 센터를 AWS 초기화할 권한을 부여합니다.	쓰기			organizations:DescribeOrganization organizations:EnableAWSServiceAccess
TagResource	태그 집합을 지정된 리소스와 연결할 수 있는 권한을 부여합니다.	태그 지정	Application
			Instance
			PermissionSet
			TrustedTokenIssuer
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	지정된 리소스에서 태그 집합을 분리할 수 있는 권한을 부여합니다.	태그 지정	Application
			Instance
			PermissionSet
			TrustedTokenIssuer
				aws:TagKeys
UpdateApplication	애플리케이션을 업데이트할 수 있는 권한을 부여합니다.	쓰기	Application*
UpdateApplication	애플리케이션을 업데이트할 수 있는 권한을 부여합니다.	쓰기		sso:ApplicationAccount
UpdateApplicationInstanceActiveCertificate	인증서를 이 애플리케이션 인스턴스에 대한 활성 인증서로 설정할 수 있는 권한을 부여합니다.	Write
UpdateApplicationInstanceDisplayData	애플리케이션 인스턴스의 표시 데이터를 업데이트할 수 있는 권한을 부여합니다.	Write
UpdateApplicationInstanceResponseConfiguration	애플리케이션 인스턴스에 대한 연동 응답 구성을 업데이트할 수 있는 권한을 부여합니다.	Write
UpdateApplicationInstanceResponseSchemaConfiguration	애플리케이션 인스턴스에 대한 연동 응답 스키마 구성을 업데이트할 수 있는 권한을 부여합니다.	Write
UpdateApplicationInstanceSecurityConfiguration	애플리케이션 인스턴스에 대한 보안 세부 정보를 업데이트할 수 있는 권한을 부여합니다.	Write
UpdateApplicationInstanceServiceProviderConfiguration	애플리케이션 인스턴스에 대한 서비스 공급자 관련 구성을 업데이트할 수 있는 권한을 부여합니다.	Write
UpdateApplicationInstanceStatus	애플리케이션 인스턴스의 상태를 업데이트할 수 있는 권한을 부여합니다.	Write
UpdateDirectoryAssociation	연결된 디렉터리에 대한 사용자 속성 매핑을 업데이트할 수 있는 권한을 부여합니다.	쓰기
UpdateInstance	Identity Center 인스턴스를 업데이트할 수 있는 권한을 부여합니다.	쓰기	Instance*
UpdateInstanceAccessControlAttributeConfiguration	ABAC에 대한 인스턴스와 함께 사용할 속성을 업데이트할 수 있는 권한을 부여합니다.	Write	Instance*
UpdateManagedApplicationInstanceStatus	관리형 애플리케이션 인스턴스의 상태를 업데이트할 수 있는 권한을 부여합니다.	쓰기
UpdatePermissionSet	권한 집합을 업데이트할 권한을 부여합니다.	권한 관리	Instance*
UpdatePermissionSet	권한 집합을 업데이트할 권한을 부여합니다.	권한 관리	PermissionSet*
UpdateProfile	애플리케이션 인스턴스에 대한 프로파일을 업데이트할 수 있는 권한을 부여합니다.	Write
UpdateSSOConfiguration	현재 SSO 인스턴스에 대한 구성을 업데이트할 수 있는 권한을 부여합니다.	Write
UpdateTrust	대상 계정의 연동 신뢰를 업데이트할 수 있는 권한을 부여합니다.	쓰기
UpdateTrustedTokenIssuer	인스턴스에 대한 신뢰할 수 있는 토큰 발급자를 업데이트할 수 있는 권한을 부여합니다.	쓰기	TrustedTokenIssuer*

AWS IAM ID 센터에서 정의한 리소스 유형 (싱글 사인온의 후속) AWS

이 서비스에서 정의하는 리소스 유형은 다음과 같으며, IAM 권한 정책 설명의 Resource 요소에서 사용할 수 있습니다. 작업 테이블의 각 작업에서 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 조건 키를 정의할 수도 있습니다. 이러한 키는 리소스 유형 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 관한 자세한 내용은 리소스 유형 테이블을 참조하세요.

리소스 유형	ARN	조건 키
PermissionSet	`arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}`	aws:ResourceTag/${TagKey}
Account	`arn:${Partition}:sso:::account/${AccountId}`
Instance	`arn:${Partition}:sso:::instance/${InstanceId}`	aws:ResourceTag/${TagKey}
Application	`arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}`	aws:ResourceTag/${TagKey} sso:ApplicationAccount
TrustedTokenIssuer	`arn:${Partition}:sso::${AccountId}:trustedTokenIssuer/${InstanceId}/${TrustedTokenIssuerId}`	aws:ResourceTag/${TagKey}
ApplicationProvider	`arn:${Partition}:sso::aws:applicationProvider/${ApplicationProviderId}`

AWS IAM ID 센터의 조건 키 (싱글 사인온의 후속) AWS

AWS IAM ID 센터 ( AWS 싱글 사인온의 후속) 는 IAM 정책의 요소에 사용할 수 있는 다음과 같은 조건 키를 정의합니다. Condition 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.

모든 서비스에 사용할 수 있는 글로벌 조건 키를 보려면 사용 가능한 글로벌 조건 키를 참조하세요.

조건 키	설명	Type
aws:RequestTag/${TagKey}	요청에서 전달되는 태그를 기준으로 액세스를 필터링합니다.	문자열
aws:ResourceTag/${TagKey}	리소스와 연결된 태그를 기준으로 액세스를 필터링합니다.	문자열
aws:TagKeys	요청에서 전달되는 태그 키를 기준으로 액세스를 필터링합니다.	ArrayOfString
sso:ApplicationAccount	애플리케이션을 생성한 계정을 기준으로 액세스를 필터링합니다.	String

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

AWS IAM 액세스 분석기

AWS IAM 아이덴티티 센터 (싱글 사인온의 후속) 디렉터리 AWS