Ejemplo de política basada en recursos para el IAM Identity Center (IAM Identity Center) - AWS IAM Identity Center
Requisitos de políticaElementos de una políticaEjemplo de política: permitir que un rol de IAM cree, acceda y actualice los tokens

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplo de política basada en recursos para el IAM Identity Center (IAM Identity Center)

Todas las aplicaciones que funcionan con IAM Identity Center y utilizan la OAuth versión 2.0 requieren una política basada en los recursos. La aplicación puede gestionarse por el cliente o gestionarse. AWS La política basada en los recursos requerida, denominada política de aplicación (o ActorPolicyen la APIs), define qué directores de IAM están autorizados a ejecutar acciones de la API del método de autenticación de IAM, por ejemplo. CreateTokenWithIAM El método de autenticación de IAM permite a un responsable de IAM, como una función o un AWS servicio de IAM, autenticarse en el servicio OIDC del IAM Identity Center presentando las credenciales de IAM para solicitar o gestionar los tokens de acceso en /token? Punto final aws_iam=t.

La política de la aplicación regula las operaciones de emisión de tokens (). CreateTokenWithIAM La política también regula las acciones que solo permiten permisos y que solo las aplicaciones AWS gestionadas utilizan para validar los tokens (IntrospectTokenWithIAM) y revocarlos (). RevokeTokenWithIAM En el caso de una aplicación gestionada por el cliente, esta política se configura especificando los directores de IAM que están autorizados a realizar llamadas. CreateTokenWithIAM Cuando un director autorizado activa esta acción de API, el director recibe los tokens de acceso y actualización de la aplicación.

Si utiliza la consola del IAM Identity Center para configurar una aplicación gestionada por el cliente para la propagación de identidades de forma fiable, consulte el paso 4 de Configurar aplicaciones OAuth 2.0 gestionadas por el cliente para obtener información sobre cómo configurar la política de la aplicación. Para ver un ejemplo de política, consulte Ejemplo de política: permitir que un rol de IAM cree, acceda y actualice los tokens más adelante en este tema.

Requisitos de política

La política debe cumplir los siguientes requisitos:

  • La política debe incluir un Version elemento establecido en «2012-10-17».

  • La política debe incluir al menos un elemento. Statement

  • Cada política Statement debe incluir los siguientes elementos: EffectPrincipal,Action, yResource.

Elementos de una política

La política debe incluir los siguientes elementos:

Versión

Especifica la versión del documento de política. Configure la versión en 2012-10-17 (la última versión).

Instrucción

Contiene la políticaStatements. La política debe contener al menos unaStatement.

Cada política Statement consta de los siguientes elementos.

Efecto

(Obligatorio) Determina si desea permitir o denegar los permisos en la declaración de política. Los valores válidos son Allow o Deny.

Entidad principal

(Obligatorio) La entidad principal es la identidad que obtiene los permisos especificados en la declaración de política. Puede especificar las funciones de IAM o los directores AWS de servicio.

Acción

(Obligatorio) La API del servicio OIDC del IAM Identity Center opera para permitir o denegar. Las acciones válidas incluyen:

  • sso-oauth:CreateTokenWithIAM: Esta acción, que corresponde a la operación de la CreateTokenWithIAMAPI, otorga permiso para crear y devolver los tokens de acceso y actualización para las aplicaciones cliente autorizadas que se autentican mediante cualquier entidad de IAM, como un rol de AWS servicio o un usuario. Estos tokens pueden contener ámbitos definidos que especifiquen permisos, como o. read:profile write:data

  • sso-oauth:IntrospectTokenWithIAM[solo con permiso]: otorga permiso para validar y recuperar información sobre los tokens de acceso OAuth 2.0 activos y los tokens de actualización, incluidos sus ámbitos y permisos asociados. Este permiso solo lo utilizan las aplicaciones AWS gestionadas y no está documentado en la referencia de la API OIDC del IAM Identity Center.

  • RevokeTokenWithIAM [solo permiso]: otorga permiso para revocar los tokens de acceso OAuth 2.0 y actualizar los tokens, invalidándolos antes de su caducidad normal. Este permiso solo lo utilizan las aplicaciones AWS gestionadas y no está documentado en la referencia de la API del OIDC del IAM Identity Center.

Recurso

(Obligatorio) En esta política, el valor del Resource elemento es"*", que significa «esta aplicación».

Para obtener más información sobre la sintaxis AWS de las políticas, consulte la Referencia de políticas de AWS IAM en la Guía del usuario de IAM.

Ejemplo de política: permitir que un rol de IAM cree, acceda y actualice los tokens

La siguiente política de permisos otorga permisos a ExampleAppClientRole una función de IAM asumida por una carga de trabajo para crear y devolver los tokens de acceso y actualizarlos. 

{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
            "Sid": "AllowRoleToCreateTokens",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
            },
            "Action": "sso-oauth:CreateTokenWithIAM",
            "Resource": "*"
        }
    ]
}