Beispiel für eine ressourcenbasierte Richtlinie für IAM Identity Center (IAM Identity Center) - AWS IAM Identity Center
RichtlinienanforderungenRichtlinienelementeBeispielrichtlinie: Erlaubt einer IAM-Rolle, Zugriffs- und Aktualisierungstoken zu erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel für eine ressourcenbasierte Richtlinie für IAM Identity Center (IAM Identity Center)

Jede Anwendung, die mit IAM Identity Center funktioniert und OAuth 2.0 verwendet, erfordert eine ressourcenbasierte Richtlinie. Die Anwendung kann vom Kunden verwaltet oder verwaltet werden. AWS Die erforderliche ressourcenbasierte Richtlinie, die als Anwendungsrichtlinie (oder ActorPolicyin der APIs) bezeichnet wird, definiert, welche IAM-Prinzipale berechtigt sind, API-Aktionen für die IAM-Authentifizierungsmethode aufzurufen, wie z. CreateTokenWithIAM Die IAM-Authentifizierungsmethode ermöglicht es einem IAM-Prinzipal, z. B. einer IAM-Rolle oder einem AWS Dienst, sich beim IAM Identity Center OIDC-Dienst zu authentifizieren, indem er IAM-Anmeldeinformationen vorlegt, um Zugriffstoken unter /token? anzufordern oder zu verwalten Endpunkt aws_iam=t.

Die Anwendungsrichtlinie regelt die Vorgänge zur Ausgabe von Tokens (). CreateTokenWithIAM Die Richtlinie regelt auch Aktionen, für die nur Berechtigungen erforderlich sind und nur von AWS verwalteten Anwendungen zur Validierung von Token () und zum Widerruf von Token (IntrospectTokenWithIAM) verwendet werden. RevokeTokenWithIAM Für eine vom Kunden verwaltete Anwendung konfigurieren Sie diese Richtlinie, indem Sie angeben, welche IAM-Principals aufrufen dürfen. CreateTokenWithIAM Wenn ein autorisierter Principal diese API-Aktion aufruft, erhält der Principal Zugriffs- und Aktualisierungstoken für die Anwendung.

Wenn Sie die IAM Identity Center-Konsole verwenden, um eine vom Kunden verwaltete Anwendung für die Weitergabe vertrauenswürdiger Identitäten einzurichten, finden Sie in Schritt 4 unter Kundenverwaltete OAuth 2.0-Anwendungen einrichten Informationen zur Konfiguration der Anwendungsrichtlinie. Ein Beispiel für eine Richtlinie finden Sie weiter Beispielrichtlinie: Erlaubt einer IAM-Rolle, Zugriffs- und Aktualisierungstoken zu erstellen unten in diesem Thema.

Richtlinienanforderungen

Die Richtlinie muss die folgenden Anforderungen erfüllen:

  • Die Richtlinie muss ein Version Element enthalten, das auf „2012-10-17“ gesetzt ist.

  • Die Richtlinie muss mindestens ein Element enthalten. Statement

  • Jede Richtlinie Statement muss die folgenden Elemente enthalten: EffectPrincipal,Action, undResource.

Richtlinienelemente

Die Richtlinie muss die folgenden Elemente enthalten:

Version

Gibt die Version des Richtliniendokuments an. Wir empfehlen, die Version auf 2012-10-17 (neueste Version) einzustellen.

Statement

Enthält die RichtlinieStatements. Die Richtlinie muss mindestens eine enthaltenStatement.

Jede Richtlinie Statement besteht aus den folgenden Elementen.

Auswirkung

(Erforderlich) Gibt an, ob die Berechtigungen in der Richtlinienanweisung zugelassen oder verweigert werden. Gültige Werte sind Allow oder Deny.

Auftraggeber

(Erforderlich) Der Prinzipal ist die Identität, die die in der Richtlinienanweisung angegebenen Berechtigungen erhält. Sie können IAM-Rollen oder AWS Dienstprinzipale angeben.

Aktion

(Erforderlich) Die IAM Identity Center OIDC-Dienst-API-Operationen, die zugelassen oder verweigert werden sollen. Zu den gültigen Aktionen gehören:

  • sso-oauth:CreateTokenWithIAM: Diese Aktion, die dem CreateTokenWithIAMAPI-Vorgang entspricht, gewährt die Berechtigung zum Erstellen und Zurückgeben von Zugriffs- und Aktualisierungstoken für autorisierte Client-Anwendungen, die mit einer beliebigen IAM-Entität authentifiziert wurden, z. B. einer AWS Servicerolle oder einem Benutzer. Diese Token können definierte Bereiche enthalten, die Berechtigungen wie oder spezifizieren. read:profile write:data

  • sso-oauth:IntrospectTokenWithIAM[nur Berechtigung]: Erteilt die Berechtigung zum Überprüfen und Abrufen von Informationen über Active OAuth 2.0-Zugriffstoken und Aktualisierungstoken, einschließlich der zugehörigen Bereiche und Berechtigungen. Diese Berechtigung wird nur von AWS verwalteten Anwendungen verwendet und ist nicht in der IAM Identity Center OIDC API-Referenz dokumentiert.

  • RevokeTokenWithIAM [nur Erlaubnis]: Erteilt die Erlaubnis, OAuth 2.0-Zugriffstoken zu widerrufen und Token zu aktualisieren, wodurch sie vor ihrem normalen Ablauf ungültig werden. Diese Berechtigung wird nur von AWS verwalteten Anwendungen verwendet und ist nicht in der IAM Identity Center OIDC API-Referenz dokumentiert.

Ressource

(Erforderlich) In dieser Richtlinie lautet der Wert des Resource Elements"*", was „diese Anwendung“ bedeutet.

Weitere Informationen zur AWS Richtliniensyntax finden Sie unter AWS IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Beispielrichtlinie: Erlaubt einer IAM-Rolle, Zugriffs- und Aktualisierungstoken zu erstellen

Die folgende Berechtigungsrichtlinie gewährt einer IAM-RolleExampleAppClientRole, die von einem Workload übernommen wurde, Berechtigungen zum Erstellen und Zurückgeben von Zugriffs- und Aktualisierungstoken. 

{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
            "Sid": "AllowRoleToCreateTokens",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
            },
            "Action": "sso-oauth:CreateTokenWithIAM",
            "Resource": "*"
        }
    ]
}