Acciones, recursos y claves de condición para el directorio de AWS IAM Identity Center.
El directorio de AWS IAM Identity Center (prefijo de servicio: sso-directory) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos de servicio para utilizarlos en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por el directorio de AWS IAM Identity Center
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Nivel de acceso de la tabla Acciones describe cómo se clasifica la acción (lista, lectura, administración de permisos o etiquetado). Esta clasificación puede ayudarle a entender el nivel de acceso que una acción concede cuando se utiliza en una política. Para obtener más información sobre los niveles de acceso, consulte Niveles de acceso en los resúmenes de políticas.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
La columna Acciones dependientes de la tabla Acciones muestra los permisos adicionales que pueden ser necesarios para llamar a una acción correctamente. Es posible que estos permisos sean necesarios además del permiso para la acción en sí. Cuando una acción especifica acciones dependientes, esas dependencias pueden aplicarse a los recursos adicionales definidos para esa acción, no solo al primer recurso de la tabla.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AddMemberToGroup | Concede permiso para agregar un miembro a un grupo en el directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Escritura |
kms:Decrypt |
||
| CompleteVirtualMfaDeviceRegistration | Otorga permiso para completar el proceso de creación de un dispositivo MFA virtual | Write | |||
| CompleteWebAuthnDeviceRegistration | Otorga permiso para completar el proceso de registro de un dispositivo WebAuthn. | Escritura | |||
| CreateAlias | Concede permiso para crear un alias para el directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Escritura | |||
| CreateBearerToken | Otorga permiso para crear un token al portador para un inquilino de aprovisionamiento determinado | Write |
kms:Decrypt |
||
| CreateExternalIdPConfigurationForDirectory | Otorga permiso para crear una configuración de proveedor de identidades externo para el directorio | Escritura | |||
| CreateGroup | Concede permiso para crear un grupo en el directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Escritura |
kms:Decrypt |
||
| CreateProvisioningTenant | Otorga permiso para crear un inquilino de aprovisionamiento para un directorio determinado | Escritura |
kms:Decrypt |
||
| CreateUser | Concede permiso para crear un usuario en el directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Escritura |
kms:Decrypt |
||
| DeleteBearerToken | Otorga permiso para eliminar un token de portador | Write |
kms:Decrypt |
||
| DeleteExternalIdPCertificate | Otorga permiso para eliminar un certificado de IdP externo determinado | Write | |||
| DeleteExternalIdPConfigurationForDirectory | Otorga permiso para eliminar una configuración de proveedor de identidades externo asociada al directorio | Escritura | |||
| DeleteGroup | Concede permiso para eliminar un grupo del directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Escritura |
kms:Decrypt |
||
| DeleteMfaDeviceForUser | Otorga permiso para eliminar un dispositivo MFA por nombre de dispositivo de un usuario determinado | Write | |||
| DeleteProvisioningTenant | Otorga permiso para eliminar el inquilino de aprovisionamiento | Escritura |
kms:Decrypt |
||
| DeleteUser | Concede permiso para eliminar un usuario del directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Escritura |
kms:Decrypt |
||
| DescribeDirectory | Concede permiso para recuperar información sobre el directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Lectura | |||
| DescribeGroup | Otorga permiso para consultar los datos del grupo, sin incluir usuarios ni miembros del grupo | Lectura |
kms:Decrypt |
||
| DescribeGroups | Concede permiso para recuperar la información acerca del grupo del directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Lectura |
kms:Decrypt |
||
| DescribeProvisioningTenant | Otorga permiso para eliminar el arrendatario de aprovisionamiento | Lectura |
kms:Decrypt |
||
| DescribeUser | Concede permiso para recuperar información sobre un usuario del directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Lectura |
kms:Decrypt |
||
| DescribeUserByUniqueAttribute | Otorga permiso para describir al usuario con un atributo único válido representado para el usuario | Lectura |
kms:Decrypt |
||
| DescribeUsers | Concede permiso para recuperar la información acerca del usuario del directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Lectura |
kms:Decrypt |
||
| DisableExternalIdPConfigurationForDirectory | Otorga permiso para desactivar la autenticación de usuarios finales con un proveedor de identidades externo | Escritura | |||
| DisableUser | Concede permiso para desactivar a un usuario en el directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Escritura |
kms:Decrypt |
||
| EnableExternalIdPConfigurationForDirectory | Otorga permiso para habilitar la autenticación de usuarios finales con un proveedor de identidades externo | Escritura | |||
| EnableUser | Concede permiso para activar a un usuario en el directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Escritura |
kms:Decrypt |
||
| GetAWSSPConfigurationForDirectory | Concede permiso para recuperar las configuraciones del proveedor de servicios del Centro de identidades de AWS IAM para el directorio | Lectura | |||
| GetGroupId | Concede permiso para recuperar información de ID sobre un grupo del directorio que AWS Identity Center proporciona de forma predeterminada | Lectura |
kms:Decrypt |
||
| GetUserId | Concede permiso para recuperar información de ID sobre un usuario del directorio que AWS IAM Identity Center proporciona de forma predeterminada | Lectura |
kms:Decrypt |
||
| GetUserPoolInfo | (Obsoleto) Otorga permiso para obtener información de UserPool | Lectura | |||
| ImportExternalIdPCertificate | Otorga permiso para importar el certificado de IdP utilizado para verificar respuestas de IdP externas | Escritura | |||
| IsMemberInGroup | Concede permiso para verificar si un miembro forma parte del grupo en el directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Lectura |
kms:Decrypt |
||
| IsMemberInGroups | Concede permiso para verificar si un miembro forma parte de varios grupos en el directorio que AWS IAM Identity Center proporciona de forma predeterminada. | Lectura |
kms:Decrypt |
||
| ListBearerTokens | Otorga permiso para enumerar tokens portadores para un inquilino de aprovisionamiento dado | Read |
kms:Decrypt |
||
| ListExternalIdPCertificates | Otorga permiso para enumerar los certificados de IdP externos de un directorio e IdP determinados | Read | |||
| ListExternalIdPConfigurationsForDirectory | Otorga permiso para mostrar todas las configuraciones del proveedor de identidades externo creadas para el directorio | Lectura | |||
| ListGroups | Concede permiso para enumerar grupos del directorio que AWS IAM Identity Center proporciona de forma predeterminada | Lectura |
kms:Decrypt |
||
| ListGroupsForMember | Otorga permiso para crear una lista de los grupos del miembro de destino | Lectura |
kms:Decrypt |
||
| ListGroupsForUser | Concede permiso para enumerar grupos para un usuario del directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Lectura |
kms:Decrypt |
||
| ListMembersInGroup | Concede permiso para recuperar a todos los miembros que forman parte de un grupo en el directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Lectura |
kms:Decrypt |
||
| ListMfaDevicesForUser | Otorga permiso para mostrar todos los dispositivos MFA activos y los metadatos de dispositivo MFA para un usuario | Read | |||
| ListProvisioningTenants | Otorga permiso para mostrar inquilinos de aprovisionamiento para un directorio determinado | Lectura |
kms:Decrypt |
||
| ListUsers | Concede permiso para enumerar usuarios del directorio que AWS IAM Identity Center proporciona de forma predeterminada | Lectura |
kms:Decrypt |
||
| RemoveMemberFromGroup | Concede permiso para eliminar a un miembro que forma parte de un grupo en el directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Escritura |
kms:Decrypt |
||
| SearchGroups | Otorga permiso para buscar grupos dentro del directorio asociado | Read |
kms:Decrypt |
||
| SearchUsers | Otorga permiso para buscar usuarios dentro del directorio asociado | Read |
kms:Decrypt |
||
| StartVirtualMfaDeviceRegistration | Otorga permiso para iniciar el proceso de creación del dispositivo mfa virtual | Write | |||
| StartWebAuthnDeviceRegistration | Otorga permiso para iniciar el proceso de registro de un dispositivo WebAuthn. | Write | |||
| UpdateExternalIdPConfigurationForDirectory | Otorga permiso para actualizar una configuración de proveedor de identidades externo asociada al directorio | Escritura | |||
| UpdateGroup | Concede permiso para actualizar información sobre un grupo del directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Escritura |
kms:Decrypt |
||
| UpdateGroupDisplayName | Otorga permiso para actualizar el nombre de visualización y la respuesta del nombre de visualización | Write |
kms:Decrypt |
||
| UpdateMfaDeviceForUser | Otorga permiso para actualizar la información del dispositivo MFA. | Escritura | |||
| UpdatePassword | Concede permiso para actualizar una contraseña enviando un enlace de restablecimiento de contraseña por email o generando una contraseña de uso único para un usuario del directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Escritura |
kms:Decrypt |
||
| UpdateUser | Concede permiso para actualizar la información de los usuarios del directorio que el Centro de identidades de AWS IAM proporciona de forma predeterminada | Escritura |
kms:Decrypt |
||
| UpdateUserName | Otorga permiso para actualizar el nombre de usuario y la respuesta del nombre de usuario | Write |
kms:Decrypt |
||
| VerifyEmail | Otorga permiso para comprobar una dirección de correo electrónico de un usuario | Escritura |
Tipos de recurso definidos por el directorio de AWS IAM Identity Center
El directorio de AWS IAM Identity Center no admite especificar un ARN de recurso en el elemento Resource de una instrucción de política de IAM. Para permitir el acceso al directorio de AWS IAM Identity Center, especifique "Resource": "*" en su política.
Claves de condición para el directorio de AWS IAM Identity Center
El directorio IAM Identity Center no tiene claves de contexto específicas de servicios que se puedan utilizar en el elemento Condition de instrucciones de política. Para obtener la lista de las claves de contexto globales que están disponibles para todos los servicios, consulte AWSClaves de contexto de condición globales.
