本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS IAM Identity Center (接續至 AWS 單一登入) 目錄的動作、資源和條件索引鍵
AWS IAM Identity Center (接續至 AWS 單一登入) 目錄 (服務字首:sso-directory) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視API此服務可用的操作清單 。
-
了解如何使用IAM許可政策來保護此服務及其資源。
主題
AWS IAM Identity Center (接續至 AWS 單一登入) 目錄定義的動作
您可以在IAM政策陳述式的 Action元素中指定下列動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用動作時,通常會允許或拒絕對相同名稱API的操作或CLI命令的存取。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作ARN的陳述式中指定該類型的 。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在IAM政策中使用 Resource元素限制資源存取,則必須為每個所需資源類型包含 ARN或 模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AddMemberToGroup | 准許將成員新增至 Identity Center 預設提供的目錄中的 AWS IAM群組 | 寫入 | |||
| CompleteVirtualMfaDeviceRegistration | 准許完成虛擬MFA裝置的建立程序 | 寫入 | |||
| CompleteWebAuthnDeviceRegistration | 准許完成 WebAuthn 裝置的註冊程序 | 寫入 | |||
| CreateAlias | 准許為 Identity Center 預設提供的目錄 AWS IAM建立別名 | 寫入 | |||
| CreateBearerToken | 准許針對指定的佈建租用戶建立承載符記 | 寫入 | |||
| CreateExternalIdPConfigurationForDirectory | 准許建立目錄的外部身分提供者組態 | 寫入 | |||
| CreateGroup | 准許在 Identity Center 預設提供的目錄中 AWS IAM建立群組 | 寫入 | |||
| CreateProvisioningTenant | 准許針對指定目錄建立佈建承租人 | 寫入 | |||
| CreateUser | 准許在 Identity Center 預設提供的目錄中 AWS IAM建立使用者 | 寫入 | |||
| DeleteBearerToken | 准許刪除承載符記 | 寫入 | |||
| DeleteExternalIdPCertificate | 准許刪除指定的外部 IdP 憑證 | 寫入 | |||
| DeleteExternalIdPConfigurationForDirectory | 准許刪除與目錄相關聯的外部身分提供者組態 | 寫入 | |||
| DeleteGroup | 准許從 Identity Center 預設提供的目錄中 AWS IAM刪除群組 | 寫入 | |||
| DeleteMfaDeviceForUser | 准許依指定使用者的裝置名稱刪除MFA裝置 | 寫入 | |||
| DeleteProvisioningTenant | 准許刪除佈建承租人 | 寫入 | |||
| DeleteUser | 准許從 Identity Center 預設提供的目錄中 AWS IAM刪除使用者 | 寫入 | |||
| DescribeDirectory | 准許擷取 Identity Center 預設提供的目錄 AWS IAM相關資訊 | 讀取 | |||
| DescribeGroup | 准許查詢群組資料的權限,不包括使用者和群組成員 | 讀取 | |||
| DescribeGroups | 准許從 Identity Center 預設提供的目錄中 AWS IAM擷取群組的相關資訊 | 讀取 | |||
| DescribeProvisioningTenant | 准許描述佈建承租人 | 讀取 | |||
| DescribeUser | 准許從 Identity Center 預設提供的目錄中 AWS IAM擷取有關使用者的資訊 | 讀取 | |||
| DescribeUserByUniqueAttribute | 准許透過使用者表示的有效唯一屬性來描述使用者 | 讀取 | |||
| DescribeUsers | 准許從 Identity Center 預設提供的目錄中 AWS IAM擷取有關使用者的資訊 | 讀取 | |||
| DisableExternalIdPConfigurationForDirectory | 准許停用以外部身分提供者來驗證一般使用者 | 寫入 | |||
| DisableUser | 准許在 Identity Center 預設提供的目錄中 AWS IAM停用使用者 | 寫入 | |||
| EnableExternalIdPConfigurationForDirectory | 准許啟用以外部身分提供者來驗證一般使用者 | 寫入 | |||
| EnableUser | 准許在 Identity Center 預設提供的目錄中 AWS IAM啟用使用者 | 寫入 | |||
| GetAWSSPConfigurationForDirectory | 准許擷取目錄的 AWS IAM Identity Center Service Provider 組態 | 讀取 | |||
| GetGroupId | 准許從 Identity Center 預設提供的目錄中 AWS IAM擷取群組的 ID 資訊 | 讀取 | |||
| GetUserId | 准許從 Identity Center 預設提供的目錄中 AWS IAM擷取使用者的 ID 資訊 | 讀取 | |||
| GetUserPoolInfo | (已棄用) 准許取得 UserPool 資訊 | 讀取 | |||
| ImportExternalIdPCertificate | 准許匯入用於驗證外部 IdP 回應的 IdP 憑證 | 寫入 | |||
| IsMemberInGroup | 准許檢查成員是否為 Identity Center 預設所提供目錄中 AWS IAM群組的一部分 | 讀取 | |||
| ListBearerTokens | 准許列出指定佈建租用戶的承載符記 | 讀取 | |||
| ListExternalIdPCertificates | 准許列出指定目錄和 IdP 的外部 IdP 憑證 | 讀取 | |||
| ListExternalIdPConfigurationsForDirectory | 准許列出為目錄建立的所有外部身分提供者組態 | 讀取 | |||
| ListGroups | 准許從 Identity Center 預設提供的目錄中 AWS IAM列出群組 | 讀取 | |||
| ListGroupsForMember | 准許列出目標成員群組 | 讀取 | |||
| ListGroupsForUser | 准許從 Identity Center 預設提供的目錄中 AWS IAM列出使用者的群組 | 讀取 | |||
| ListMembersInGroup | 准許擷取 Identity Center 預設提供的目錄中 AWS IAM屬於群組的所有成員 | 讀取 | |||
| ListMfaDevicesForUser | 准許列出使用者的所有作用中MFA裝置及其MFA裝置中繼資料 | 讀取 | |||
| ListProvisioningTenants | 准許列出指定目錄的佈建承租人 | 讀取 | |||
| ListUsers | 准許從 Identity Center 預設提供的目錄中 AWS IAM列出使用者 | 讀取 | |||
| RemoveMemberFromGroup | 准許移除 Identity Center 預設所提供目錄中 AWS IAM屬於群組的成員 | 寫入 | |||
| SearchGroups | 准許搜尋關聯目錄中的群組 | 讀取 | |||
| SearchUsers | 准許搜尋關聯目錄中的使用者 | 讀取 | |||
| StartVirtualMfaDeviceRegistration | 准許開始虛擬 MFA 裝置的建立程序 | 寫入 | |||
| StartWebAuthnDeviceRegistration | 准許開始 WebAuthn 裝置的註冊程序 | 寫入 | |||
| UpdateExternalIdPConfigurationForDirectory | 准許更新與目錄相關聯的外部身分提供者組態 | 寫入 | |||
| UpdateGroup | 准許更新 Identity Center 預設提供的目錄中 AWS IAM群組的相關資訊 | 寫入 | |||
| UpdateGroupDisplayName | 准許更新群組顯示名稱,更新群組顯示名稱回應 | 寫入 | |||
| UpdateMfaDeviceForUser | 准許更新MFA裝置資訊 | 寫入 | |||
| UpdatePassword | 准許透過電子郵件傳送密碼重設連結,或在 Identity Center 預設提供的目錄中為使用者產生一次性密碼來 AWS IAM更新密碼 | 寫入 | |||
| UpdateUser | 准許在 Identity Center 預設提供的目錄中 AWS IAM更新使用者資訊 | 寫入 | |||
| UpdateUserName | 准許更新使用者名稱,更新使用者名稱回應 | 寫入 | |||
| VerifyEmail | 准許驗證使用者的電子郵件地址 | 寫入 |
AWS IAM Identity Center (接班人至 AWS 單一登入) 目錄定義的資源類型
AWS IAM Identity Center (接續到 AWS 單一登入) 目錄不支援在IAM政策陳述式的 Resource元素ARN中指定資源。若要允許存取 AWS IAM Identity Center (接續至 AWS 單一登入) 目錄,請在政策"Resource": "*"中指定 。
AWS IAM Identity Center (接續至 AWS 單一登入) 目錄的條件索引鍵
IAM Identity Center (後繼版本至 AWS SSO) 目錄沒有可用於政策陳述式Condition元素的服務特定內容索引鍵。如需可供所有服務使用之全域內容索引鍵的清單,請參閱可用的條件索引鍵。
