Ident AWS IAM ity Center( AWS 单点登录的继任者)目录的操作、资源和条件密钥 - 服务授权参考

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Ident AWS IAM ity Center( AWS 单点登录的继任者)目录的操作、资源和条件密钥

AWS IAMIdentity Center( AWS 单点登录的继任者sso-directory)目录(服务前缀:)提供以下特定于服务的资源、操作和条件上下文密钥,用于IAM权限策略。

参考:

由 AWS IAM Identity Center( AWS 单点登录的继任者)目录定义的操作

您可以在IAM策略声明的Action元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。当您在策略中使用操作时,通常会允许或拒绝访问具有相同名称的API操作或CLI命令。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。如果该列包含资源类型,则可以在带有该操作ARN的语句中指定该类型的资源类型。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您使用IAM策略中的Resource元素限制资源访问权限,则必须为每种必需的资源类型包含ARN或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AddMemberToGroup 授予将成员添加到 Ident AWS IAM ity Center 默认提供的目录中的群组的权限 写入
CompleteVirtualMfaDeviceRegistration 授予完成虚拟MFA设备创建过程的权限 写入
CompleteWebAuthnDeviceRegistration 授予完成 WebAuthn 设备注册过程的权限 写入
CreateAlias 授予为 AWS IAM身份中心默认提供的目录创建别名的权限 写入
CreateBearerToken 授予权限以便为给定的预置租户创建持有者令牌 Write
CreateExternalIdPConfigurationForDirectory 授予权限以便为目录创建外部身份提供商配置 写入
CreateGroup 授予在 Ident AWS IAM ity Center 默认提供的目录中创建群组的权限 写入
CreateProvisioningTenant 授予权限以便为给定的目录创建预置租户 写入
CreateUser 授予在 Ident AWS IAM ity Center 默认提供的目录中创建用户的权限 写入
DeleteBearerToken 授予权限以删除持有者令牌 Write
DeleteExternalIdPCertificate 授予权限以删除给定的外部 IdP 证书 Write
DeleteExternalIdPConfigurationForDirectory 授予权限以删除与目录关联的外部身份提供商配置 写入
DeleteGroup 授予从 Ident AWS IAM ity Center 默认提供的目录中删除群组的权限 写入
DeleteMfaDeviceForUser 为给定用户授予按MFA设备名称删除设备的权限 写入
DeleteProvisioningTenant 授予权限以删除预置租户 写入
DeleteUser 授予从 Ident AWS IAM ity Center 默认提供的目录中删除用户的权限 写入
DescribeDirectory 授予权限以检索 Ident AWS IAM ity Center 默认提供的目录的相关信息 读取
DescribeGroup 授予权限以查询组数据,不包括用户和组成员 读取
DescribeGroups 授予从 Ident AWS IAM ity Center 默认提供的目录中检索群组信息的权限 读取
DescribeProvisioningTenant 授予权限以描述预置租户 读取
DescribeUser 授予从 Ident AWS IAM ity Center 默认提供的目录中检索用户信息的权限 读取
DescribeUserByUniqueAttribute 授予权限以使用代表用户的有效唯一属性描述用户 读取
DescribeUsers 授予从 Ident AWS IAM ity Center 默认提供的目录中检索用户信息的权限 读取
DisableExternalIdPConfigurationForDirectory 授予权限以禁止最终用户使用外部身份提供商进行身份验证 写入
DisableUser 授予在 AWS IAM身份中心默认提供的目录中停用用户的权限 写入
EnableExternalIdPConfigurationForDirectory 授予权限以允许最终用户使用外部身份提供商进行身份验证 写入
EnableUser 授予在 Ident AWS IAM ity Center 默认提供的目录中激活用户的权限 写入
GetAWSSPConfigurationForDirectory 授予检索目录的 AWS IAM身份中心服务提供商配置的权限 读取
GetGroupId 授予从 Ident AWS IAM ity Center 默认提供的目录中检索有关群组的 ID 信息的权限 读取
GetUserId 授予从 Identity Center 默认提供的目录中检索用户 AWS IAM身份信息的权限 读取
GetUserPoolInfo (已弃用)授予获取 UserPool 信息的权限 读取
ImportExternalIdPCertificate 授予权限以导入用于验证外部 IdP 响应的 IdP 证书 写入
IsMemberInGroup 授予权限以检查成员是否是 Ident AWS IAM ity Center 默认提供的目录中群组的一部分 读取
ListBearerTokens 授予权限以列出给定预置租户的持有者令牌 Read
ListExternalIdPCertificates 授予权限以列出给定目录和 IdP 的外部 IdP 证书 Read
ListExternalIdPConfigurationsForDirectory 授予权限以列出为目录创建的所有外部身份提供商配置 读取
ListGroups 授予从 Ident AWS IAM ity Center 默认提供的目录中列出群组的权限 读取
ListGroupsForMember 授予权限以列出目标成员组 读取
ListGroupsForUser 授予从 Ident AWS IAM ity Center 默认提供的目录中为用户列出群组的权限 读取
ListMembersInGroup 授予权限以检索 Ident AWS IAM ity Center 默认提供的目录中属于群组的所有成员 读取
ListMfaDevicesForUser 授予用户列出所有活动MFA设备及其MFA设备元数据的权限 读取
ListProvisioningTenants 授予权限以列出给定目录的预置租户 读取
ListUsers 授予从 Ident AWS IAM ity Center 默认提供的目录中列出用户的权限 读取
RemoveMemberFromGroup 授予删除 AWS IAM身为 Identity Center 默认提供的目录中群组成员的权限 写入
SearchGroups 授予权限以在关联的目录中搜索组 Read
SearchUsers 授予权限以在关联的目录中搜索用户 Read
StartVirtualMfaDeviceRegistration 授予权限以开始虚拟 mfa 设备的创建过程 写入
StartWebAuthnDeviceRegistration 授予开始 WebAuthn 设备注册过程的权限 写入
UpdateExternalIdPConfigurationForDirectory 授予权限以更新与目录关联的外部身份提供商配置 写入
UpdateGroup 授予更新 AWS IAM身份中心默认提供的目录中群组信息的权限 写入
UpdateGroupDisplayName 授予权限以更新组显示名称更新组显示名称响应 写入
UpdateMfaDeviceForUser 授予更新MFA设备信息的权限 写入
UpdatePassword 通过电子邮件发送密码重置链接或在 Ident AWS IAM ity Center 默认提供的目录中为用户生成一次性密码,授予更新密码的权限 写入
UpdateUser 授予更新 Ident AWS IAM ity Center 默认提供的目录中的用户信息的权限 写入
UpdateUserName 授予权限以更新用户名更新用户名响应 Write
VerifyEmail 授予权限以验证用户的电子邮件地址 写入

由 Ident AWS IAM ity Center( AWS 单点登录的继任者)目录定义的资源类型

AWS IAMIdentity Center( AWS 单点登录的继任者)目录不支持ARN在IAM策略声明的Resource元素中指定资源。要允许访问 AWS IAM身份中心( AWS 单点登录的继任者)目录,请在策略"Resource": "*"中指定。

AWS IAM身份中心( AWS 单点登录的继任者)目录的条件密钥

IAMIdentity Center(的继任者 AWS SSO)目录没有可在策略声明Condition元素中使用的特定于服务的上下文密钥。有关适用于所有服务的全局上下文键列表,请参阅可用的条件键