Exemple de politique basée sur les ressources pour IAM Identity Center IAM Identity Center - AWS IAM Identity Center
Exigences des stratégiesÉléments de stratégieExemple de politique : autoriser un rôle IAM à créer des jetons d'accès et à actualiser

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple de politique basée sur les ressources pour IAM Identity Center IAM Identity Center

Chaque application qui fonctionne avec IAM Identity Center et utilise la OAuth version 2.0 nécessite une politique basée sur les ressources. L'application peut être gérée par le client ou AWS gérée. La stratégie basée sur les ressources requise, appelée politique d'application (ou ActorPolicydans le APIs), définit les principaux IAM autorisés à appeler des actions d'API de la méthode d'authentification IAM, telles que. CreateTokenWithIAM La méthode d'authentification IAM permet à un principal IAM, tel qu'un rôle ou un AWS service IAM, de s'authentifier auprès du service IAM Identity Center OIDC en présentant des informations d'identification IAM pour demander ou gérer des jetons d'accès sur le répertoire /token ? point de terminaison aws_iam=t.

La politique d'application régit les opérations d'émission de jetons (CreateTokenWithIAM). La politique régit également les actions avec autorisation uniquement utilisées par les applications AWS gérées pour valider les jetons (IntrospectTokenWithIAM) et révoquer les jetons (). RevokeTokenWithIAM Pour une application gérée par le client, vous configurez cette politique en spécifiant les principaux IAM autorisés à appeler. CreateTokenWithIAM Lorsqu'un principal autorisé appelle cette action d'API, il reçoit des jetons d'accès et d'actualisation pour l'application.

Si vous utilisez la console IAM Identity Center pour configurer une application gérée par le client pour une propagation d'identité fiable, reportez-vous à l'étape 4 de la section Configuration des applications OAuth 2.0 gérées par le client pour savoir comment configurer la politique d'application. Pour un exemple de politique, voir Exemple de politique : autoriser un rôle IAM à créer des jetons d'accès et à actualiser plus loin dans cette rubrique.

Exigences des stratégies

La politique doit répondre aux exigences suivantes :

  • La politique doit inclure un Version élément défini sur « 2012-10-17 ».

  • La politique doit inclure au moins un Statement élément.

  • Chaque politique Statement doit inclure les éléments suivants : EffectPrincipal,Action, etResource.

Éléments de stratégie

La politique doit inclure les éléments suivants :

Version

Spécifie la version du document de politique. Définissez la version sur 2012-10-17 (la dernière version).

Instruction

Contient la politiqueStatements. La politique doit en contenir au moins unStatement.

Chaque politique Statement comprend les éléments suivants.

Effet

(Requis) Détermine s'il convient d'autoriser ou de rejeter les autorisations figurant dans l'instruction de politique. Les valeurs valides sont Allow ou Deny.

Principal

(Requis) Le principal est l'identité qui obtient les autorisations figurant dans l'instruction de politique. Vous pouvez spécifier les rôles IAM ou les principaux AWS de service.

Action

(Obligatoire) Les opérations d'API du service IAM Identity Center OIDC à autoriser ou à refuser. Les actions valides incluent :

  • sso-oauth:CreateTokenWithIAM: Cette action, qui correspond à l'opération de l'CreateTokenWithIAMAPI, autorise la création et le renvoi de jetons d'accès et d'actualisation pour les applications clientes autorisées authentifiées à l'aide de n'importe quelle entité IAM, telle qu'un rôle de AWS service ou un utilisateur. Ces jetons peuvent contenir des étendues définies qui spécifient des autorisations telles que read:profile ouwrite:data.

  • sso-oauth:IntrospectTokenWithIAM[autorisation uniquement] : accorde l'autorisation de valider et de récupérer des informations sur les jetons d'accès OAuth 2.0 actifs et les jetons d'actualisation, y compris leurs étendues et autorisations associées. Cette autorisation est utilisée uniquement par les applications AWS gérées et n'est pas documentée dans la référence d'API OIDC d'IAM Identity Center.

  • RevokeTokenWithIAM [autorisation uniquement] : accorde l'autorisation de révoquer les jetons d'accès OAuth 2.0 et d'actualiser les jetons, en les invalidant avant leur expiration normale. Cette autorisation est utilisée uniquement par les applications AWS gérées et n'est pas documentée dans la référence d'API OIDC d'IAM Identity Center.

Ressource

(Obligatoire) Dans cette politique, la valeur de l'Resourceélément est"*", ce qui signifie « cette application ».

Pour plus d'informations sur la syntaxe des AWS politiques, reportez-vous à la section Référence des politiques AWS IAM dans le Guide de l'utilisateur IAM.

Exemple de politique : autoriser un rôle IAM à créer des jetons d'accès et à actualiser

La politique d'autorisation suivante accorde des autorisations à ExampleAppClientRole un rôle IAM assumé par une charge de travail pour créer et renvoyer des jetons d'accès et d'actualisation. 

{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
            "Sid": "AllowRoleToCreateTokens",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
            },
            "Action": "sso-oauth:CreateTokenWithIAM",
            "Resource": "*"
        }
    ]
}