Ações, recursos e chaves de condição para o AWS IAM Identity Center (sucessor do AWS Single Sign-on)

O AWS IAM Identity Center (sucessor do AWS Single Sign-On) (prefixo do serviço: sso) fornece os seguintes recursos, ações e chaves de contexto de condição para uso em políticas de permissão do IAM.

Referências:

Saiba como configurar este serviço.
Visualize uma lista das operações de API disponíveis para este serviço.
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.

Tópicos

Ações definidas pelo AWS IAM Identity Center (sucessor do AWS Single Sign-On)
Tipos de recursos definidos pelo AWS IAM Identity Center (sucessor do AWS Single Sign-On)
Chaves de condição para o AWS IAM Identity Center (sucessor do AWS Single Sign-on)

Ações definidas pelo AWS IAM Identity Center (sucessor do AWS Single Sign-On)

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.

A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.

nota

As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações	Descrição	Nível de acesso	Tipos de recursos (*necessários)	Chaves de condição	Ações dependentes
AssociateDirectory	Concede permissão para conectar um diretório a ser usado pelo AWS IAM Identity Center	Escrever			ds:AuthorizeApplication
AssociateProfile	Concede permissão para criar uma associação entre um usuário ou grupo de diretório e um perfil	Escrever
AttachCustomerManagedPolicyReferenceToPermissionSet	Concede permissão para anexar uma referência de política gerenciada pelo cliente a um conjunto de permissões	Gerenciamento de permissões	Instance*
AttachCustomerManagedPolicyReferenceToPermissionSet		Gerenciamento de permissões	PermissionSet*
AttachManagedPolicyToPermissionSet	Concede permissão para anexar uma política gerenciada pela AWS a um conjunto de permissões	Gerenciamento de permissões	Instance*
AttachManagedPolicyToPermissionSet		Gerenciamento de permissões	PermissionSet*
CreateAccountAssignment	Concede permissão para atribuir acesso a uma entidade principal de uma Conta da AWS especificada usando um conjunto determinado de permissões	Escrever	Account*
			Instance*
			PermissionSet*
CreateApplication	Concede permissão para criar um aplicativo	Escrever	ApplicationProvider*
			Instance*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateApplicationAssignment	Concede permissão para criar uma atribuição de aplicação	Escrever	Application*
CreateApplicationAssignment	Concede permissão para criar uma atribuição de aplicação	Escrever		sso:ApplicationAccount
CreateApplicationInstance	Concede permissão para adicionar uma instância de aplicação ao AWS IAM Identity Center	Escrever
CreateApplicationInstanceCertificate	Concede permissão para adicionar um novo certificado para uma instância da aplicação	Escrever
CreateInstance	Concede permissão para criar uma instância de centro de identidade	Escrever	Instance*		iam:CreateServiceLinkedRole organizations:DescribeOrganization
CreateInstance		Escrever		aws:RequestTag/${TagKey} aws:TagKeys
CreateInstanceAccessControlAttributeConfiguration	Concede permissão para habilitar a instância para ABAC e especificar os atributos	Escrever	Instance*		iam:AttachRolePolicy iam:CreateRole iam:DeleteRole iam:DeleteRolePolicy iam:DetachRolePolicy iam:GetRole iam:ListAttachedRolePolicies iam:ListRolePolicies iam:PutRolePolicy iam:UpdateAssumeRolePolicy
CreateManagedApplicationInstance	Concede permissão para adicionar uma instância de aplicação gerenciada ao AWS IAM Identity Center	Escrever
CreatePermissionSet	Concede permissão para criar um conjunto de permissões	Write	Instance*
			PermissionSet*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateProfile	Concede permissão para criar um perfil para uma instância da aplicação	Write
CreateTrust	Concede permissão para criar uma confiança de federação em uma conta de destino	Escrever
CreateTrustedTokenIssuer	Concede permissão para criar um emissor de token confiável para uma instância	Escrever	Instance*
CreateTrustedTokenIssuer		Escrever		aws:RequestTag/${TagKey} aws:TagKeys
DeleteAccountAssignment	Concede permissão para excluir o acesso de uma entidade principal em uma Conta da AWS especificada usando um conjunto determinado de permissões	Escrever	Account*
			Instance*
			PermissionSet*
DeleteApplication	Concede permissão para excluir um aplicativo	Escrever	Application*
DeleteApplication	Concede permissão para excluir um aplicativo	Escrever		sso:ApplicationAccount
DeleteApplicationAccessScope	Concede permissão para excluir um escopo de acesso para uma aplicação	Escrever	Application*
DeleteApplicationAccessScope		Escrever		sso:ApplicationAccount
DeleteApplicationAssignment	Concede permissão para excluir uma atribuição de aplicação	Escrever	Application*
DeleteApplicationAssignment	Concede permissão para excluir uma atribuição de aplicação	Escrever		sso:ApplicationAccount
DeleteApplicationAuthenticationMethod	Concede permissão para excluir um método de autenticação para uma aplicação	Escrever	Application*
DeleteApplicationAuthenticationMethod		Escrever		sso:ApplicationAccount
DeleteApplicationGrant	Concede permissão para excluir uma concessão de uma aplicação	Escrever	Application*
DeleteApplicationGrant		Escrever		sso:ApplicationAccount
DeleteApplicationInstance	Concede permissão para excluir a instância da aplicação	Write
DeleteApplicationInstanceCertificate	Concede permissão para excluir um certificado expirado ou inativo da instância da aplicação	Escrever
DeleteInlinePolicyFromPermissionSet	Concede permissão para excluir a política em linha de um conjunto de permissões especificado	Escrever	Instance*
DeleteInlinePolicyFromPermissionSet		Escrever	PermissionSet*
DeleteInstance	Concede permissão para excluir uma instância de centro de identidade	Escrever	Instance*
DeleteInstanceAccessControlAttributeConfiguration	Concede permissão para desabilitar o ABAC e remover a lista de atributos da instância	Write	Instance*
DeleteManagedApplicationInstance	Concede permissão para excluir a instância da aplicação gerenciada	Write
DeletePermissionSet	Concede permissão para excluir um conjunto de permissões	Escrever	Instance*
DeletePermissionSet	Concede permissão para excluir um conjunto de permissões	Escrever	PermissionSet*
DeletePermissionsBoundaryFromPermissionSet	Concede permissão para remover limites de permissões de um conjunto de permissões	Gerenciamento de permissões	Instance*
DeletePermissionsBoundaryFromPermissionSet		Gerenciamento de permissões	PermissionSet*
DeletePermissionsPolicy	Concede permissão para excluir a política de permissão associada a um conjunto de permissões	Permissions management
DeleteProfile	Concede permissão para excluir o perfil de uma instância da aplicação	Escrever
DeleteTrustedTokenIssuer	Concede permissão para excluir um emissor de token confiável para uma instância	Escrever	TrustedTokenIssuer*
DescribeAccountAssignmentCreationStatus	Concede permissão para descrever o status da solicitação de criação de atribuição	Leitura	Instance*
DescribeAccountAssignmentDeletionStatus	Concede permissão para descrever o status de uma solicitação de exclusão da atribuição	Leitura	Instance*
DescribeApplication	Concede permissão para obter informações sobre uma aplicação	Leitura	Application*
DescribeApplication		Leitura		sso:ApplicationAccount
DescribeApplicationAssignment	Concede permissão para recuperar uma atribuição de aplicação	Leitura	Application*
DescribeApplicationAssignment		Leitura		sso:ApplicationAccount
DescribeApplicationProvider	Concede permissão para descrever um provedor de aplicação	Leitura	ApplicationProvider*
DescribeDirectories	Concede permissão para obter informações sobre os diretórios dessa conta	Leitura
DescribeInstance	Concede permissão para obter informações sobre uma instância de centro de identidade	Leitura	Instance*
DescribeInstanceAccessControlAttributeConfiguration	Concede permissão para obter a lista de atributos usados pela instância para ABAC	Read	Instance*
DescribePermissionSet	Concede permissão para descrever um conjunto de permissões	Leitura	Instance*
DescribePermissionSet	Concede permissão para descrever um conjunto de permissões	Leitura	PermissionSet*
DescribePermissionSetProvisioningStatus	Concede permissão para descrever o status da solicitação de provisionamento do conjunto de permissões determinado	Leitura	Instance*
DescribePermissionsPolicies	Concede permissão para recuperar todas as políticas de permissão associadas a um conjunto de permissões	Leitura
DescribeRegisteredRegions	Concede permissão para obter as regiões em que a organização habilitou o AWS IAM Identity Center	Leitura
DescribeTrustedTokenIssuer	Concede permissão para descrever um emissor de token confiável para uma instância	Leitura	TrustedTokenIssuer*
DescribeTrusts	Concede permissão para obter informações sobre as relações de confiança dessa conta	Leitura
DetachCustomerManagedPolicyReferenceFromPermissionSet	Concede permissão para desvincular uma referência de política gerenciada pelo cliente de um conjunto de permissões	Gerenciamento de permissões	Instance*
DetachCustomerManagedPolicyReferenceFromPermissionSet		Gerenciamento de permissões	PermissionSet*
DetachManagedPolicyFromPermissionSet	Concede permissão para desvincular a política gerenciada pela AWS anexada do conjunto de permissões especificado	Gerenciamento de permissões	Instance*
DetachManagedPolicyFromPermissionSet		Gerenciamento de permissões	PermissionSet*
DisassociateDirectory	Concede permissão para desassociar um diretório a ser usado pelo AWS IAM Identity Center	Escrever			ds:UnauthorizeApplication
DisassociateProfile	Concede permissão para desassociar um usuário ou grupo de diretório de um perfil	Escrever
GetApplicationAccessScope	Concede permissão para obter um escopo de acesso para uma aplicação	Leitura	Application*
GetApplicationAccessScope		Leitura		sso:ApplicationAccount
GetApplicationAssignmentConfiguration	Concede permissão para ler configurações de atribuição para uma aplicação	Leitura	Application*
GetApplicationAssignmentConfiguration		Leitura		sso:ApplicationAccount
GetApplicationAuthenticationMethod	Concede permissão para obter um método de autenticação para uma aplicação	Leitura	Application*
GetApplicationAuthenticationMethod		Leitura		sso:ApplicationAccount
GetApplicationGrant	Concede permissão para obter detalhes sobre uma concessão pertencente a uma aplicação	Leitura	Application*
GetApplicationGrant		Leitura		sso:ApplicationAccount
GetApplicationInstance	Concede permissão para recuperar os detalhes de uma instância da aplicação	Read
GetApplicationTemplate	Concede permissão para recuperar os detalhes do modelo da aplicação	Leitura
GetInlinePolicyForPermissionSet	Concede permissão para obter a política em linha atribuída ao conjunto de permissões	Leitura	Instance*
GetInlinePolicyForPermissionSet		Leitura	PermissionSet*
GetManagedApplicationInstance	Concede permissão para recuperar os detalhes de uma instância da aplicação	Read
GetMfaDeviceManagementForDirectory	Concede permissão para recuperar as configurações de gerenciamento de dispositivos MFA para o diretório	Read
GetPermissionSet	Concede permissão para recuperar detalhes de um conjunto de permissões	Leitura
GetPermissionsBoundaryForPermissionSet	Concede permissão para obter limites de permissões para um conjunto de permissões	Leitura	Instance*
GetPermissionsBoundaryForPermissionSet		Leitura	PermissionSet*
GetPermissionsPolicy	Concede permissão para recuperar todas as políticas de permissão associadas a um conjunto de permissões	Read			sso:DescribePermissionsPolicies
GetProfile	Concede permissão para recuperar um perfil para uma instância da aplicação	Leitura
GetSSOStatus	Concede permissão para verificar se o AWS IAM Identity Center está habilitado	Leitura
GetSharedSsoConfiguration	Concede permissão para recuperar a configuração compartilhada para a instância SSO atual	Read
GetSsoConfiguration	Concede permissão para recuperar a configuração para a instância atual do SSO	Read
GetTrust	Concede permissão para recuperar a confiança de federação em uma conta de destino	Read
ImportApplicationInstanceServiceProviderMetadata	Concede permissão para atualizar a instância da aplicação fazendo upload de um arquivo de metadados SAML da aplicação fornecido pelo provedor de serviços	Escrever
ListAccountAssignmentCreationStatus	Concede permissão para listar o status das solicitações de criação de atribuição da Conta da AWS para uma instância de SSO especificada	Lista	Instance*
ListAccountAssignmentDeletionStatus	Concede permissão para listar o status das solicitações de exclusão de atribuição da Conta da AWS para uma instância de SSO especificada	Lista	Instance*
ListAccountAssignments	Concede permissão para listar o destinatário da Conta da AWS especificada com o conjunto de permissões especificado	Lista	Account*
			Instance*
			PermissionSet*
ListAccountAssignmentsForPrincipal	Concede permissão para listar contas atribuídas a usuário ou grupo	Lista	Instance*
ListAccountsForProvisionedPermissionSet	Concede permissão para listar todas as contas da AWS em que o conjunto de permissões especificado é provisionado	Lista	Instance*
ListAccountsForProvisionedPermissionSet		Lista	PermissionSet*
ListApplicationAccessScopes	Concede permissão para listar escopos de acesso para uma aplicação	Lista	Application*
ListApplicationAccessScopes		Lista		sso:ApplicationAccount
ListApplicationAssignments	Concede permissão para listar atribuições de aplicação	Lista	Application*
ListApplicationAssignments	Concede permissão para listar atribuições de aplicação	Lista		sso:ApplicationAccount
ListApplicationAssignmentsForPrincipal	Concede permissão para listar aplicações atribuídas a usuário ou grupo	Lista	Instance*
ListApplicationAssignmentsForPrincipal		Lista		sso:ApplicationAccount
ListApplicationAuthenticationMethods	Concede permissão para listar métodos de autenticação para uma aplicação	Lista	Application*
ListApplicationAuthenticationMethods		Lista		sso:ApplicationAccount
ListApplicationGrants	Concede permissão para listar concessões para uma aplicação	Lista	Application*
ListApplicationGrants	Concede permissão para listar concessões para uma aplicação	Lista		sso:ApplicationAccount
ListApplicationInstanceCertificates	Concede permissão para recuperar todos os certificados de uma determinada instância da aplicação	Read
ListApplicationInstances	Concede permissão para recuperar todas as instâncias da aplicação	Lista			sso:GetApplicationInstance
ListApplicationProviders	Concede permissão para listar provedores de aplicação	Lista	ApplicationProvider*
ListApplicationTemplates	Concede permissão para recuperar todos os modelos da aplicação com suporte	Lista			sso:GetApplicationTemplate
ListApplications	Concede permissão para recuperar todas as aplicações associadas à instância do IAM Identity Center	Lista
ListCustomerManagedPolicyReferencesInPermissionSet	Concede permissão para listar as políticas gerenciadas pelo cliente anexadas a um conjunto de permissões	Lista	Instance*
ListCustomerManagedPolicyReferencesInPermissionSet		Lista	PermissionSet*
ListDirectoryAssociations	Concede permissão para recuperar os detalhes sobre o diretório conectado ao AWS IAM Identity Center	Leitura
ListInstances	Concede permissão para listar as instâncias do SSO às quais o chamador tem acesso	Lista
ListManagedPoliciesInPermissionSet	Concede permissão para listar as políticas gerenciadas pela AWS anexadas a um conjunto de permissões especificado	Lista	Instance*
ListManagedPoliciesInPermissionSet		Lista	PermissionSet*
ListPermissionSetProvisioningStatus	Concede permissão para listar o status das solicitações das solicitações de provisionamento do conjunto de permissões de uma instância de SSO especificada	Lista	Instance*
ListPermissionSets	Concede permissão para recuperar todos os conjuntos de permissões	Lista	Instance*
ListPermissionSetsProvisionedToAccount	Concede permissão para listar todos os conjuntos de permissões que são provisionados em uma Conta da AWS especificada	Lista	Account*
ListPermissionSetsProvisionedToAccount		Lista	Instance*
ListProfileAssociations	Concede permissão para recuperar o usuário ou grupo de diretório associado ao perfil	Read
ListProfiles	Concede permissão para recuperar todos os perfis de uma instância da aplicação	Lista			sso:GetProfile
ListTagsForResource	Concede permissão para listar as etiquetas anexadas ao usuário do recurso especificado	Leitura	Application
			Instance
			PermissionSet
			TrustedTokenIssuer
ListTrustedTokenIssuers	Concede permissão para listar emissores de token confiáveis para uma instância	Lista	Instance*
ProvisionPermissionSet	Concede permissão para provisionar um conjunto de permissões específico para o destino especificado	Escrever	Account*
			Instance*
			PermissionSet*
PutApplicationAccessScope	Concede permissão para criar/atualizar um escopo de acesso para uma aplicação	Escrever	Application*
PutApplicationAccessScope		Escrever		sso:ApplicationAccount
PutApplicationAssignmentConfiguration	Concede permissão para adicionar configurações de atribuição a uma aplicação	Escrever	Application*
PutApplicationAssignmentConfiguration		Escrever		sso:ApplicationAccount
PutApplicationAuthenticationMethod	Concede permissão para criar/atualizar um método de autenticação para uma aplicação	Escrever	Application*
PutApplicationAuthenticationMethod		Escrever		sso:ApplicationAccount
PutApplicationGrant	Concede permissão para criar/atualizar uma concessão para uma aplicação	Escrever	Application*
PutApplicationGrant		Escrever		sso:ApplicationAccount
PutInlinePolicyToPermissionSet	Concede permissão para anexar uma política em linha do IAM a um conjunto de permissões	Escrever	Instance*
PutInlinePolicyToPermissionSet		Escrever	PermissionSet*
PutMfaDeviceManagementForDirectory	Concede permissão para colocar as configurações de gerenciamento de dispositivos MFA no diretório	Escrever
PutPermissionsBoundaryToPermissionSet	Concede permissão para adicionar limites de permissões a um conjunto de permissões	Gerenciamento de permissões	Instance*
PutPermissionsBoundaryToPermissionSet		Gerenciamento de permissões	PermissionSet*
PutPermissionsPolicy	Concede permissão para adicionar uma política a um conjunto de permissões	Permissions management
SearchGroups	Concede permissão para pesquisar grupos no diretório associado	Read			ds:DescribeDirectories
SearchUsers	Concede permissão para pesquisar usuários no diretório associado	Leitura			ds:DescribeDirectories
StartSSO	Concede permissão para inicializar o AWS IAM Identity Center	Escrever			organizations:DescribeOrganization organizations:EnableAWSServiceAccess
TagResource	Concede permissão para associar um conjunto de etiquetas a um recurso especificado	Tags	Application
			Instance
			PermissionSet
			TrustedTokenIssuer
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	Concede permissão para desassociar um conjunto de etiquetas de um recurso especificado	Tags	Application
			Instance
			PermissionSet
			TrustedTokenIssuer
				aws:TagKeys
UpdateApplication	Concede permissão para atualizar uma aplicação	Escrever	Application*
UpdateApplication	Concede permissão para atualizar uma aplicação	Escrever		sso:ApplicationAccount
UpdateApplicationInstanceActiveCertificate	Concede permissão para definir um certificado como ativo para esta instância da aplicação	Write
UpdateApplicationInstanceDisplayData	Concede permissão para atualizar os dados de exibição de uma instância da aplicação	Write
UpdateApplicationInstanceResponseConfiguration	Concede permissão para atualizar a configuração da resposta de federação para a instância da aplicação	Write
UpdateApplicationInstanceResponseSchemaConfiguration	Concede permissão para atualizar o esquema da resposta da federação para a instância da aplicação	Write
UpdateApplicationInstanceSecurityConfiguration	Concede permissão para atualizar os detalhes de segurança para a instância da aplicação	Write
UpdateApplicationInstanceServiceProviderConfiguration	Concede permissão para atualizar a configuração relacionada ao provedor do serviço da instância da aplicação	Write
UpdateApplicationInstanceStatus	Concede permissão para atualizar o status de uma instância da aplicação	Write
UpdateDirectoryAssociation	Concede permissão para atualizar os mapeamentos de atributos do usuário para o diretório conectado	Escrever
UpdateInstance	Concede permissão para atualizar uma instância de centro de identidade	Escrever	Instance*
UpdateInstanceAccessControlAttributeConfiguration	Concede permissão para atualizar os atributos a serem usados com a instância para ABAC	Write	Instance*
UpdateManagedApplicationInstanceStatus	Concede permissão para atualizar o status de uma instância da aplicação gerenciada	Escrever
UpdatePermissionSet	Concede permissão para atualizar o conjunto de permissões	Gerenciamento de permissões	Instance*
UpdatePermissionSet	Concede permissão para atualizar o conjunto de permissões	Gerenciamento de permissões	PermissionSet*
UpdateProfile	Concede permissão para atualizar o perfil de uma instância da aplicação	Write
UpdateSSOConfiguration	Concede permissão para atualizar a configuração da instância do SSO atual	Write
UpdateTrust	Concede permissão para atualizar a confiança de federação em uma conta de destino	Escrever
UpdateTrustedTokenIssuer	Concede permissão para atualizar um emissor de token confiável para uma instância	Escrever	TrustedTokenIssuer*

Tipos de recursos definidos pelo AWS IAM Identity Center (sucessor do AWS Single Sign-On)

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos	ARN	Chaves de condição
PermissionSet	`arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}`	aws:ResourceTag/${TagKey}
Account	`arn:${Partition}:sso:::account/${AccountId}`
Instance	`arn:${Partition}:sso:::instance/${InstanceId}`	aws:ResourceTag/${TagKey}
Application	`arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}`	aws:ResourceTag/${TagKey} sso:ApplicationAccount
TrustedTokenIssuer	`arn:${Partition}:sso::${AccountId}:trustedTokenIssuer/${InstanceId}/${TrustedTokenIssuerId}`	aws:ResourceTag/${TagKey}
ApplicationProvider	`arn:${Partition}:sso::aws:applicationProvider/${ApplicationProviderId}`

Chaves de condição para o AWS IAM Identity Center (sucessor do AWS Single Sign-on)

O AWS IAM Identity Center (sucessor do AWS Single Sign-On) define as chaves de condição a seguir que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição	Descrição	Tipo
aws:RequestTag/${TagKey}	Filtra o acesso pelas etiquetas que são transmitidas na solicitação	Segmento
aws:ResourceTag/${TagKey}	Filtra o acesso pelas etiquetas associadas ao recurso	Segmento
aws:TagKeys	Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação	ArrayOfString
sso:ApplicationAccount	Filtra o acesso pela conta que cria a aplicação	String

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS IAM Access Analyzer

Diretório do AWS IAM Identity Center (sucessor do AWS Single Sign-On)