As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
As funções vinculadas ao serviço do IAM Identity Center permanecem.
AWS IAM Identity Center usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculada diretamente ao IAM Identity Center. Ele é predefinido pelo IAM Identity Center e inclui todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. Para ter mais informações, consulte Perfis vinculados ao serviço.
Um perfil vinculado ao serviço facilita a configuração do IAM Identity Center porque você não precisa adicionar as permissões necessárias manualmente. O IAM Identity Center define as permissões de seu perfil vinculado a serviço e, exceto se definido de outra forma, somente o IAM Identity Center pode assumir sua função. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Função vinculada a serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.
As funções vinculadas ao serviço do IAM Identity Center permanecem.
O IAM Identity Center usa a função vinculada ao serviço nomeada AWSServiceRoleForSSOpara conceder permissões ao IAM Identity Center para gerenciar AWS recursos, incluindo funções, políticas e SAML IdP em seu nome.
A função AWSServiceRoleForSSO vinculada ao serviço confia nos seguintes serviços para assumir a função:
-
Centro de identidade do IAM (prefixo do serviço:
sso)
A política de permissões AWSServiceRoleForSSO de função vinculada ao serviço permite que o IAM Identity Center conclua o seguinte em funções no caminho “/aws-reserved/sso.amazonaws.com/” e com o prefixo do nome “_”: AWSReservedSSO
-
iam:AttachRolePolicy -
iam:CreateRole -
iam:DeleteRole -
iam:DeleteRolePermissionsBoundary -
iam:DeleteRolePolicy -
iam:DetachRolePolicy -
iam:GetRole -
iam:ListRolePolicies -
iam:PutRolePolicy -
iam:PutRolePermissionsBoundary -
iam:ListAttachedRolePolicies
A política de permissões AWSServiceRoleForSSO de função vinculada ao serviço permite que o IAM Identity Center conclua o seguinte em provedores de SAML com o prefixo de nome “_”: AWSSSO
-
iam:CreateSAMLProvider -
iam:GetSAMLProvider -
iam:UpdateSAMLProvider -
iam:DeleteSAMLProvider
A política de permissões AWSServiceRoleForSSO de funções vinculadas ao serviço permite que o IAM Identity Center conclua o seguinte em todas as organizações:
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
A política de permissões AWSServiceRoleForSSO de função vinculada ao serviço permite que o IAM Identity Center conclua o seguinte em todas as funções do IAM (*):
-
iam:listRoles
A política de permissões de função AWSServiceRoleForSSO vinculada ao serviço permite que o IAM Identity Center conclua o seguinte em “arn:aws:iam: :*:role/ /sso.amazonaws.com/”: aws-service-role AWSServiceRoleForSSO
-
iam:GetServiceLinkedRoleDeletionStatus -
iam:DeleteServiceLinkedRole
A política de permissões da função permite que o IAM Identity Center execute as seguintes ações em recursos:
{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] } ] }
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Service-linked role permissions no IAM User Guide.
Criar um perfil vinculado ao serviço para o IAM Identity Center
Não é necessário criar manualmente uma função vinculada ao serviço. Depois de ativado, o IAM Identity Center cria uma função vinculada ao serviço em todas as contas da organização em Organizations AWS . O IAM Identity Center também cria a mesma função vinculada ao serviço em todas as contas que são adicionadas posteriormente à sua organização. Essa função permite que o IAM Identify Center acesse os recursos de cada conta em seu nome.
Observações
-
Se você estiver conectado à conta AWS Organizations de gerenciamento, ela usará sua função atualmente conectada e não a função vinculada ao serviço. Isso evita a escalada de privilégios.
-
Quando o IAM Identity Center executa qualquer operação do IAM na conta AWS Organizations de gerenciamento, todas as operações acontecem usando as credenciais do diretor do IAM. Isso permite que os logins CloudTrail forneçam visibilidade de quem fez todas as alterações de privilégios na conta de gerenciamento.
Importante
Se você estava usando o serviço IAM Identity Center antes de 7 de dezembro de 2017, quando ele começou a oferecer suporte a funções vinculadas ao serviço, o IAM Identity Center criou a AWSServiceRoleForSSO função em sua conta. Para saber mais, consulte A New Role Appeared in My IAM Account.
Se você excluir essa função vinculada a serviço e depois precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta.
Criar um perfil vinculado ao serviço para o IAM Identity Center
O IAM Identity Center não permite que você edite a função AWSServiceRoleForSSO vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editing a service-linked role no IAM User Guide.
Criar um perfil vinculado ao serviço para o IAM Identity Center
Você não precisa excluir manualmente a AWSServiceRoleForSSO função. Quando um Conta da AWS é removido de uma AWS organização, o IAM Identity Center limpa automaticamente os recursos e exclui a função vinculada ao serviço. Conta da AWS
Também é possível usar o console do IAM, a CLI do IAM; ou a API do IAM para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
nota
Se o serviço IAM Identity Center estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir os recursos do IAM Identity Center usados pelo AWSServiceRoleForSSO
-
Remover o acesso de usuários e grupos para todos os usuários e grupos que têm acesso a Conta da AWS.
-
Excluir conjuntos de permissões que você associou a Conta da AWS.
Como excluir manualmente a função vinculada a serviço usando o IAM
Use o console do IAM, a CLI do IAM ou a API do IAM para excluir a função vinculada ao AWSServiceRoleForSSO serviço. Para obter mais informações, consulte Deleting a Service-Linked Role no IAM User Guide.
