Requisitos de la política Elementos de una política Ejemplo de política: permitir que un rol de IAM cree tokens de acceso y actualización tokens

Ejemplos de política basada en recursos para IAM Identity Center

Todas las aplicaciones que funcionan con el IAM Identity Center y utilizan la OAuth versión 2.0 requieren una política basada en los recursos. La aplicación puede gestionarse por el cliente o gestionarse. AWS La política basada en los recursos requerida, denominada política de aplicación (o ActorPolicyen la APIs), define qué directores de IAM están autorizados a ejecutar acciones de la API del método de autenticación de IAM, por ejemplo. CreateTokenWithIAM El método de autenticación de IAM permite a un responsable de IAM, como una función o un AWS servicio de IAM, autenticarse en el servicio OIDC del IAM Identity Center presentando las credenciales de IAM para solicitar o gestionar los tokens de acceso en /token? Punto final aws_iam=t.

La política de la aplicación regula las operaciones de emisión de tokens (CreateTokenWithIAM). La política también regula las acciones que solo permiten permisos y que solo las aplicaciones AWS administradas utilizan para validar y revocar los tokens (). IntrospectTokenWithIAM RevokeTokenWithIAM En el caso de una aplicación administrada por el cliente, esta política se configura especificando las entidades principales de IAM que están autorizadas a realizar llamadas a CreateTokenWithIAM. Cuando una entidad principal autorizada activa esta acción de API, la entidad autorizada recibe los tokens de acceso y actualización de la aplicación.

Si utiliza la consola del Centro de Identidad de IAM para configurar una aplicación gestionada por el cliente para la propagación de identidades de forma fiable, consulte el paso 4 de Configurar aplicaciones OAuth 2.0 gestionadas por el cliente para obtener información sobre cómo configurar la política de aplicaciones. Para obtener una política ejemplo, consulte Ejemplo de política: permitir que un rol de IAM cree tokens de acceso y actualización tokens, más adelante en este tema.

Requisitos de la política

La política debe cumplir los siguientes requisitos:

La política debe incluir un elemento Version establecido en «2012-10-17».
La política debe incluir al menos un elemento Statement.
Cada política Statement debe incluir los siguientes elementos: Effect, Principal, Action y Resource.

Elementos de una política

La política debe incluir los siguientes elementos:

Versión

Especifica la versión del documento de política. Configure la versión en 2012-10-17 (la última versión).

Instrucción

Contiene la política Statements. La política debe contener al menos un valor Statement.

Cada política Statement está formada por los siguientes elementos:

Efecto

(Obligatorio) Determina si desea permitir o denegar los permisos en la declaración de política. Los valores válidos son Allow o Deny.

Entidad principal

(Obligatorio) La entidad principal es la identidad que obtiene los permisos especificados en la declaración de política. Puede especificar los roles de IAM o las entidades principales de servicio de AWS .

Acción de

(Obligatorio) Las operaciones de la API del servicio OIDC de IAM Identity Center para permitir o denegar. Entre las acciones válidas se incluyen:

sso-oauth:CreateTokenWithIAM: Esta acción, que corresponde a la operación de la CreateTokenWithIAMAPI, otorga permiso para crear y devolver los tokens de acceso y actualizar las aplicaciones cliente autorizadas que se autentican mediante cualquier entidad de IAM, como un rol de AWS servicio o un usuario. Estos tokens pueden contener ámbitos definidos que especifiquen permisos, como read:profile o write:data.
sso-oauth:IntrospectTokenWithIAM[solo con permiso]: otorga permiso para validar y recuperar información sobre los tokens de acceso OAuth 2.0 activos y los tokens de actualización, incluidos sus alcances y permisos asociados. Este permiso solo lo utilizan las aplicaciones AWS gestionadas y no está documentado en la referencia de la API OIDC del IAM Identity Center.
RevokeTokenWithIAM [solo permiso]: otorga permiso para revocar los tokens de acceso OAuth 2.0 y actualizar los tokens, invalidándolos antes de su caducidad normal. Este permiso solo lo utilizan las aplicaciones AWS gestionadas y no está documentado en la referencia de la API del OIDC del IAM Identity Center.

Recurso

(Obligatorio) En esta política, el valor del elemento Resource es "*", que significa «esta aplicación».

Para obtener más información sobre la sintaxis de las AWS políticas, consulte la Referencia de políticas de AWS IAM en la Guía del usuario de IAM.

Ejemplo de política: permitir que un rol de IAM cree tokens de acceso y actualización tokens

La siguiente política de permisos otorga permisos a ExampleAppClientRole, un rol de IAM asumido por una carga de trabajo para crear y devolver los tokens de acceso y actualización.


{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
            "Sid": "AllowRoleToCreateTokens",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
            },
            "Action": "sso-oauth:CreateTokenWithIAM",
            "Resource": "*"
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas basadas en identidades

AWS políticas gestionadas