Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès pour IAM Identity Center
L'accès à IAM Identity Center nécessite des informations d'identification qui AWS peuvent être utilisées pour authentifier vos demandes. Ces informations d'identification doivent être autorisées à accéder aux AWS ressources, telles qu'une application AWS gérée.
L'authentification sur le portail AWS d'accès est contrôlée par le répertoire que vous avez connecté à IAM Identity Center. Cependant, l' Comptes AWS autorisation accordée aux utilisateurs depuis le portail AWS d'accès est déterminée par deux facteurs :
1. Qui a reçu l'accès à ceux de Comptes AWS la console IAM Identity Center. Pour de plus amples informations, veuillez consulter [Accès par authentification unique à Comptes AWS](useraccess.md).
1. Quel niveau d'autorisations a été accordé aux utilisateurs dans la console IAM Identity Center pour leur permettre d'y accéder de manière appropriée ? Comptes AWS Pour de plus amples informations, veuillez consulter [Création, gestion et suppression des jeux d’autorisations](permissionsets.md).
Les sections suivantes expliquent comment, en tant qu'administrateur, vous pouvez contrôler l'accès à la console IAM Identity Center ou déléguer l'accès administratif aux day-to-day tâches depuis la console IAM Identity Center.
+ [Authentification](#authentication)
+ [Contrôle d’accès](#accesscontrol)
## Authentification
Découvrez comment accéder à l' AWS aide des [identités IAM.](https://docs.aws.amazon.com//IAM/latest/UserGuide/id.html)
## Contrôle d’accès
Vous pouvez disposer d'informations d'identification valides pour authentifier vos demandes, mais vous ne pouvez pas créer de ressources IAM Identity Center ou y accéder sans autorisation. Par exemple, vous devez disposer des autorisations nécessaires pour créer un répertoire connecté à IAM Identity Center.
**Note**
Si votre instance IAM Identity Center est configurée avec une clé KMS gérée par le client, les administrateurs de votre IAM Identity Center et les autres acteurs ayant besoin d'accéder à la clé KMS auront besoin d'autorisations supplémentaires. Reportez-vous à [Implémentation de clés KMS gérées par le client dans AWS IAM Identity Center](identity-center-customer-managed-keys.md).
Les sections suivantes décrivent comment gérer les autorisations pour IAM Identity Center. Nous vous recommandons de lire d’abord la présentation.
+ [Vue d'ensemble de la gestion des autorisations d'accès aux ressources de votre IAM Identity Center](iam-auth-access-overview.md)
+ [Exemples de politiques basées sur l'identité pour IAM Identity Center](iam-auth-access-using-id-policies.md)
+ [Exemple de politique basée sur les ressources pour IAM Identity Center IAM Identity Center](iam-auth-access-using-resource-based-policies.md)
+ [Utilisation de rôles liés à un service pour IAM Identity Center](using-service-linked-roles.md)
# Vue d'ensemble de la gestion des autorisations d'accès aux ressources de votre IAM Identity Center
Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès aux ressources sont régies par des politiques d'autorisation. Pour fournir un accès, un administrateur de compte peut ajouter des autorisations aux identités IAM (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). Certains services (tels que AWS Lambda) prennent également en charge l'ajout d'autorisations aux ressources.
**Note**
Un *administrateur de compte* (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d’informations, consultez [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [
## Ressources et opérations de l'IAM Identity Center
](#creatingiampolicies)
+ [
## Présentation de la propriété des ressources
](#accesscontrolresourceowner)
+ [
## Gestion de l’accès aux ressources
](#accesscontrolmanagingaccess)
+ [
## Spécification des éléments de politique : actions, effets, ressources et principes
](#policyactions)
+ [
## Spécification de conditions dans une politique
](#specifyiampolicyconditions)
## Ressources et opérations de l'IAM Identity Center
Dans IAM Identity Center, les ressources principales sont les instances d'applications, les profils et les ensembles d'autorisations.
## Présentation de la propriété des ressources
*Le propriétaire d'une ressource* est celui Compte AWS qui a créé une ressource. En d'autres termes, le propriétaire Compte AWS de la ressource est l'*entité principale* (le compte, un utilisateur ou un rôle IAM) qui authentifie la demande qui crée la ressource. Les exemples suivants illustrent comment cela fonctionne :
+ Si le Utilisateur racine d'un compte AWS crée une ressource IAM Identity Center, telle qu'une instance d'application ou un ensemble d'autorisations, vous Compte AWS êtes le propriétaire de cette ressource.
+ Si vous créez un utilisateur dans votre AWS compte et que vous lui accordez les autorisations nécessaires pour créer des ressources IAM Identity Center, l'utilisateur peut alors créer des ressources IAM Identity Center. Cependant, votre AWS compte, auquel appartient l'utilisateur, est propriétaire des ressources.
+ Si vous créez un rôle IAM dans votre AWS compte avec les autorisations nécessaires pour créer des ressources IAM Identity Center, toute personne pouvant assumer ce rôle peut créer des ressources IAM Identity Center. Vous Compte AWS, à qui appartient le rôle, êtes propriétaire des ressources de l'IAM Identity Center.
## Gestion de l’accès aux ressources
Une *politique d'autorisation* décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
**Note**
Cette section décrit l'utilisation d'IAM dans le contexte d'IAM Identity Center. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez la rubrique[ Qu'est-ce que IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dans le *Guide de l'utilisateur IAM*. Pour plus d’informations sur la syntaxe et les descriptions des politiques IAM, consultez la [Référence des politiques AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l’utilisateur IAM*.
Les politiques qui sont associées à une identité IAM sont appelées des politiques *basées sur l'identité* (politiques IAM). Les politiques qui sont attachées à une ressource sont appelées politiques *basées sur la ressource*. IAM Identity Center ne prend en charge que les politiques basées sur l'identité (politiques IAM).
**Topics**
+ [
### Politiques basées sur une identité (politiques IAM)
](#accesscontrolidentitybased)
+ [
### Politiques basées sur les ressources
](#accesscontrolresourcebased)
### Politiques basées sur une identité (politiques IAM)
Vous pouvez ajouter des autorisations aux identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :
+ **Associez une politique d'autorisations à un utilisateur ou à un groupe de votre** compte Compte AWS : un administrateur de compte peut utiliser une politique d'autorisations associée à un utilisateur particulier pour autoriser cet utilisateur à ajouter une ressource IAM Identity Center, telle qu'une nouvelle application.
+ **Attacher une politique d'autorisations à un rôle (accorder des autorisations entre comptes)** : vous pouvez attacher une politique d'autorisation basée sur une identité à un rôle IAM afin d'accorder des autorisations entre comptes.
Pour plus d'informations sur l'utilisation d'IAM pour déléguer des autorisations, veuillez consulter la section [Access management](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) (français non garanti) dans le *Guide de l'utilisateur IAM*.
La politique d'autorisation suivante accorde des autorisations à un utilisateur lui permettant d'exécuter toutes les actions commençant par `List`. Ces actions affichent des informations sur une ressource IAM Identity Center, telle qu'une instance d'application ou un ensemble d'autorisations. Notez que le caractère générique (\$1) dans l'`Resource`élément indique que les actions sont autorisées pour toutes les ressources IAM Identity Center détenues par le compte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"sso:List*",
"Resource":"*"
}
]
}
```
------
Pour plus d'informations sur l'utilisation de politiques basées sur l'identité avec IAM Identity Center, consultez. [Exemples de politiques basées sur l'identité pour IAM Identity Center](iam-auth-access-using-id-policies.md) Pour plus d’informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez [Identités (utilisateurs, groupes et rôles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment. IAM Identity Center ne prend pas en charge les politiques basées sur les ressources.
## Spécification des éléments de politique : actions, effets, ressources et principes
Pour chaque ressource IAM Identity Center (voir[Ressources et opérations de l'IAM Identity Center](#creatingiampolicies)), le service définit un ensemble d'opérations d'API. Pour accorder des autorisations pour ces opérations d'API, IAM Identity Center définit un ensemble d'actions que vous pouvez spécifier dans une politique. Notez que l'exécution d'une opération d'API peut exiger des autorisations pour plusieurs actions.
Voici les éléments de base d’une politique :
+ **Ressource** : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s’applique.
+ **Action :** vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, l'`sso:DescribePermissionsPolicies`autorisation autorise l'utilisateur à effectuer l'`DescribePermissionsPolicies`opération IAM Identity Center.
+ **Effet** – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n'octroyez pas explicitement l'accès pour (autoriser) une ressource, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
+ **Principal** – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource). IAM Identity Center ne prend pas en charge les politiques basées sur les ressources.
Pour en savoir plus sur la syntaxe et les descriptions des politiques IAM, consultez la [Référence des politiques AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l’utilisateur IAM*.
## Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage d'access policy pour spécifier les conditions qui doivent être remplies pour qu'une stratégie prenne effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe aucune clé de condition spécifique à IAM Identity Center. Cependant, il existe des clés de AWS condition que vous pouvez utiliser selon les besoins. Pour obtenir la liste complète des AWS clés, consultez la section [Clés de condition globales disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
# Exemples de politiques basées sur l'identité pour IAM Identity Center
Cette rubrique fournit des exemples de politiques IAM que vous pouvez créer pour accorder aux utilisateurs et aux rôles les autorisations nécessaires à l'administration d'IAM Identity Center.
**Important**
Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès aux ressources de votre IAM Identity Center. Pour de plus amples informations, veuillez consulter [Vue d'ensemble de la gestion des autorisations d'accès aux ressources de votre IAM Identity Center](iam-auth-access-overview.md).
Les sections de cette rubrique couvrent les sujets suivants :
+ [Exemples de politiques personnalisées](#policyexample)
+ [Autorisations requises pour utiliser la console IAM Identity Center](#requiredpermissionsconsole)
## Exemples de politiques personnalisées
Cette section fournit des exemples de cas d'utilisation courants qui nécessitent une politique IAM personnalisée. Ces exemples de politiques sont des politiques basées sur l'identité, qui ne spécifient pas l'élément principal. En effet, avec une politique basée sur l'identité, vous ne spécifiez pas le principal qui obtient l'autorisation. Au lieu de cela, vous attachez la politique au principal. Lorsque vous associez une politique d'autorisation basée sur l'identité à un rôle IAM, le principal identifié dans la politique de confiance du rôle obtient les autorisations. Vous pouvez créer des politiques basées sur l'identité dans IAM et les associer à des utilisateurs, des groupes et des rôles. and/or Vous pouvez également appliquer ces politiques aux utilisateurs d'IAM Identity Center lorsque vous créez un ensemble d'autorisations dans IAM Identity Center.
**Note**
Utilisez ces exemples lorsque vous créez des politiques pour votre environnement et assurez-vous de tester les cas positifs (« accès accordé ») et négatifs (« accès refusé ») avant de déployer ces politiques dans votre environnement de production. Pour plus d'informations sur le test des politiques IAM, consultez la section [Tester les politiques IAM avec le simulateur de politiques IAM dans le guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) de l'utilisateur *IAM*.
**Topics**
+ [
### Exemple 1 : Autoriser un utilisateur à consulter le centre d'identité IAM
](#policyexamplesetupenable)
+ [
### Exemple 2 : Autoriser un utilisateur à gérer les autorisations Comptes AWS dans IAM Identity Center
](#policyexamplemanageconnecteddirectory)
+ [
### Exemple 3 : Autoriser un utilisateur à gérer des applications dans IAM Identity Center
](#policyexamplemanageapplication)
+ [
### Exemple 4 : autoriser un utilisateur à gérer les utilisateurs et les groupes dans votre annuaire Identity Center
](#policyexamplemanageusersgroups)
### Exemple 1 : Autoriser un utilisateur à consulter le centre d'identité IAM
La politique d'autorisation suivante accorde des autorisations en lecture seule à un utilisateur afin qu'il puisse consulter tous les paramètres et informations d'annuaire configurés dans IAM Identity Center.
**Note**
Cette politique n'est fournie qu'à titre d'exemple. Dans un environnement de production, nous vous recommandons d'utiliser la politique `ViewOnlyAccess` AWS gérée pour IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"iam:ListPolicies",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListRoots",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"sso:ListManagedPoliciesInPermissionSet",
"sso:ListPermissionSetsProvisionedToAccount",
"sso:ListAccountAssignments",
"sso:ListAccountsForProvisionedPermissionSet",
"sso:ListPermissionSets",
"sso:DescribePermissionSet",
"sso:GetInlinePolicyForPermissionSet",
"sso-directory:DescribeDirectory",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups"
],
"Resource": "*"
}
]
}
```
------
### Exemple 2 : Autoriser un utilisateur à gérer les autorisations Comptes AWS dans IAM Identity Center
La politique d'autorisation suivante accorde des autorisations permettant à un utilisateur de créer, de gérer et de déployer des ensembles d'autorisations pour votre Comptes AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:AttachManagedPolicyToPermissionSet",
"sso:CreateAccountAssignment",
"sso:CreatePermissionSet",
"sso:DeleteAccountAssignment",
"sso:DeleteInlinePolicyFromPermissionSet",
"sso:DeletePermissionSet",
"sso:DetachManagedPolicyFromPermissionSet",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:UpdatePermissionSet"
],
"Resource": "*"
},
{
"Sid": "IAMListPermissions",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListPolicies"
],
"Resource": "*"
},
{
"Sid": "AccessToSSOProvisionedRoles",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRole",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:PutRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetSAMLProvider"
],
"Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE"
}
]
}
```
------
**Note**
Les autorisations supplémentaires répertoriées sous `"Sid": "IAMListPermissions"` les `"Sid": "AccessToSSOProvisionedRoles"` sections et sont requises uniquement pour permettre à l'utilisateur de créer des attributions dans le compte AWS Organizations de gestion. Dans certains cas, il se peut que vous deviez également ajouter des `iam:UpdateSAMLProvider` éléments à ces sections.
### Exemple 3 : Autoriser un utilisateur à gérer des applications dans IAM Identity Center
La politique d'autorisation suivante accorde des autorisations permettant à un utilisateur de visualiser et de configurer des applications dans IAM Identity Center, y compris des applications SaaS préintégrées issues du catalogue IAM Identity Center.
**Note**
L'`sso:AssociateProfile`opération utilisée dans l'exemple de politique suivant est requise pour la gestion des affectations d'utilisateurs et de groupes aux applications. Il permet également à un utilisateur d'attribuer des utilisateurs et des groupes à Comptes AWS l'aide des ensembles d'autorisations existants. Si un utilisateur doit gérer l' Compte AWS accès au sein d'IAM Identity Center et a besoin des autorisations nécessaires pour gérer les ensembles d'autorisations, consultez[Exemple 2 : Autoriser un utilisateur à gérer les autorisations Comptes AWS dans IAM Identity Center](#policyexamplemanageconnecteddirectory).
Depuis octobre 2020, bon nombre de ces opérations ne sont disponibles que via la AWS console. Cet exemple de politique inclut des actions de « lecture » telles que list, get et search, qui sont pertinentes pour le fonctionnement sans erreur de la console dans ce cas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:AssociateProfile",
"sso:CreateApplicationInstance",
"sso:ImportApplicationInstanceServiceProviderMetadata",
"sso:DeleteApplicationInstance",
"sso:DeleteProfile",
"sso:DisassociateProfile",
"sso:GetApplicationTemplate",
"sso:UpdateApplicationInstanceServiceProviderConfiguration",
"sso:UpdateApplicationInstanceDisplayData",
"sso:DeleteManagedApplicationInstance",
"sso:UpdateApplicationInstanceStatus",
"sso:GetManagedApplicationInstance",
"sso:UpdateManagedApplicationInstanceStatus",
"sso:CreateManagedApplicationInstance",
"sso:UpdateApplicationInstanceSecurityConfiguration",
"sso:UpdateApplicationInstanceResponseConfiguration",
"sso:GetApplicationInstance",
"sso:CreateApplicationInstanceCertificate",
"sso:UpdateApplicationInstanceResponseSchemaConfiguration",
"sso:UpdateApplicationInstanceActiveCertificate",
"sso:DeleteApplicationInstanceCertificate",
"sso:ListApplicationInstanceCertificates",
"sso:ListApplicationTemplates",
"sso:ListApplications",
"sso:ListApplicationInstances",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:ListProfileAssociations",
"sso:ListInstances",
"sso:GetProfile",
"sso:GetSSOStatus",
"sso:GetSsoConfiguration",
"sso-directory:DescribeDirectory",
"sso-directory:DescribeUsers",
"sso-directory:ListMembersInGroup",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers"
],
"Resource": "*"
}
]
}
```
------
### Exemple 4 : autoriser un utilisateur à gérer les utilisateurs et les groupes dans votre annuaire Identity Center
La politique d'autorisation suivante accorde des autorisations permettant à un utilisateur de créer, d'afficher, de modifier et de supprimer des utilisateurs et des groupes dans IAM Identity Center.
Dans certains cas, les modifications directes apportées aux utilisateurs et aux groupes dans IAM Identity Center sont limitées. Par exemple, lorsqu'Active Directory ou un fournisseur d'identité externe avec le provisionnement automatique activé est sélectionné comme source d'identité.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:DisableUser",
"sso-directory:EnableUser",
"sso-directory:SearchGroups",
"sso-directory:DeleteGroup",
"sso-directory:AddMemberToGroup",
"sso-directory:DescribeDirectory",
"sso-directory:UpdateUser",
"sso-directory:ListMembersInGroup",
"sso-directory:CreateUser",
"sso-directory:DescribeGroups",
"sso-directory:SearchUsers",
"sso:ListDirectoryAssociations",
"sso-directory:RemoveMemberFromGroup",
"sso-directory:DeleteUser",
"sso-directory:DescribeUsers",
"sso-directory:UpdateGroup",
"sso-directory:CreateGroup"
],
"Resource": "*"
}
]
}
```
------
## Autorisations requises pour utiliser la console IAM Identity Center
Pour qu'un utilisateur puisse utiliser la console IAM Identity Center sans erreur, des autorisations supplémentaires sont nécessaires. Si une politique IAM plus restrictive que les autorisations minimales requises a été créée, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique. L'exemple suivant répertorie l'ensemble des autorisations qui peuvent être nécessaires pour garantir un fonctionnement sans erreur dans la console IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:DescribeAccountAssignmentCreationStatus",
"sso:DescribeAccountAssignmentDeletionStatus",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:DescribeRegisteredRegions",
"sso:GetApplicationInstance",
"sso:GetApplicationTemplate",
"sso:GetInlinePolicyForPermissionSet",
"sso:GetManagedApplicationInstance",
"sso:GetMfaDeviceManagementForDirectory",
"sso:GetPermissionSet",
"sso:GetProfile",
"sso:GetSharedSsoConfiguration",
"sso:GetSsoConfiguration",
"sso:GetSSOStatus",
"sso:GetTrust",
"sso:ListAccountAssignmentCreationStatus",
"sso:ListAccountAssignmentDeletionStatus",
"sso:ListAccountAssignments",
"sso:ListAccountsForProvisionedPermissionSet",
"sso:ListApplicationInstanceCertificates",
"sso:ListApplicationInstances",
"sso:ListApplications",
"sso:ListApplicationTemplates",
"sso:ListDirectoryAssociations",
"sso:ListInstances",
"sso:ListManagedPoliciesInPermissionSet",
"sso:ListPermissionSetProvisioningStatus",
"sso:ListPermissionSets",
"sso:ListPermissionSetsProvisionedToAccount",
"sso:ListProfileAssociations",
"sso:ListProfiles",
"sso:ListTagsForResource",
"sso-directory:DescribeDirectory",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:ListMembersInGroup",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers"
],
"Resource": "*"
}
]
}
```
------
# Exemple de politique basée sur les ressources pour IAM Identity Center IAM Identity Center
Chaque application qui fonctionne avec IAM Identity Center et utilise la [OAuth version 2.0](customermanagedapps-saml2-oauth2.md#oidc-concept) nécessite une politique basée sur les ressources. L'application peut être gérée par le client ou AWS gérée. La stratégie basée sur les ressources requise, appelée politique d'*application* (ou [ActorPolicy](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_IamAuthenticationMethod.html#API_IamAuthenticationMethod_Contents)dans le APIs), définit les [principaux IAM autorisés à appeler des actions d'API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) de la méthode d'authentification IAM, telles que. [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) **La méthode d'authentification IAM permet à un principal IAM, tel qu'un rôle ou un AWS service IAM, de s'authentifier auprès du service IAM Identity Center OIDC en présentant des informations d'identification IAM pour demander ou gérer des jetons d'accès sur le répertoire /token ? point de terminaison aws\$1iam=t**.
La politique d'application régit les opérations d'émission de jetons (`CreateTokenWithIAM`). La politique régit également les actions avec autorisation uniquement utilisées par les applications AWS gérées pour valider les jetons (`IntrospectTokenWithIAM`) et révoquer les jetons (). `RevokeTokenWithIAM` Pour une application gérée par le client, vous configurez cette politique en spécifiant les principaux IAM autorisés à appeler. `CreateTokenWithIAM` Lorsqu'un principal autorisé appelle cette action d'API, il reçoit des jetons d'accès et d'actualisation pour l'application.
Si vous utilisez la console IAM Identity Center pour configurer une application gérée par le client pour une [propagation d'identité fiable](trustedidentitypropagation-overview.md), reportez-vous à l'étape 4 de la section [Configuration des applications OAuth 2.0 gérées par le client](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md) pour savoir comment configurer la politique d'application. Pour un exemple de politique, voir [Exemple de politique : autoriser un rôle IAM à créer des jetons d'accès et à actualiser](#oauth-application-policy-example) plus loin dans cette rubrique.
## Exigences des stratégies
La politique doit répondre aux exigences suivantes :
+ La politique doit inclure un `Version ` élément défini sur « 2012-10-17 ».
+ La politique doit inclure au moins un `Statement` élément.
+ Chaque politique `Statement` doit inclure les éléments suivants : `Effect``Principal`,`Action`, et`Resource`.
## Éléments de stratégie
La politique doit inclure les éléments suivants :
**Version**
Spécifie la version du document de politique. Définissez la version sur `2012-10-17` (la dernière version).
**Instruction**
Contient la politique`Statements`. La politique doit en contenir au moins un`Statement`.
Chaque politique `Statement` comprend les éléments suivants.
**Effet**
(Requis) Détermine s'il convient d'autoriser ou de rejeter les autorisations figurant dans l'instruction de politique. Les valeurs valides sont `Allow` ou `Deny`.
**Principal**
(Requis) Le [principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) est l'identité qui obtient les autorisations figurant dans l'instruction de politique. Vous pouvez spécifier les rôles IAM ou les principaux AWS de service.
**Action**
(Obligatoire) Les opérations d'API du service IAM Identity Center OIDC à autoriser ou à refuser. Les actions valides incluent :
+ `sso-oauth:CreateTokenWithIAM`: Cette action, qui correspond à l'opération de l'[https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)API, autorise la création et le renvoi de jetons d'accès et d'actualisation pour les applications clientes autorisées authentifiées à l'aide de n'importe quelle entité IAM, telle qu'un rôle de AWS service ou un utilisateur. Ces jetons peuvent contenir des étendues définies qui spécifient des autorisations telles que `read:profile` ou`write:data`.
+ `sso-oauth:IntrospectTokenWithIAM`[autorisation uniquement] : accorde l'autorisation de valider et de récupérer des informations sur les jetons d'accès OAuth 2.0 actifs et les jetons d'actualisation, y compris leurs étendues et autorisations associées. Cette autorisation est utilisée uniquement par les applications AWS gérées et n'est pas documentée dans la référence d'*API OIDC d'IAM Identity Center*.
+ `RevokeTokenWithIAM `[autorisation uniquement] : accorde l'autorisation de révoquer les jetons d'accès OAuth 2.0 et d'actualiser les jetons, en les invalidant avant leur expiration normale. Cette autorisation est utilisée uniquement par les applications AWS gérées et n'est pas documentée dans la référence d'*API OIDC d'IAM Identity Center*.
**Ressource**
(Obligatoire) Dans cette politique, la valeur de l'`Resource`élément est`"*"`, ce qui signifie « cette application ».
Pour plus d'informations sur la syntaxe des AWS politiques, voir la [référence de stratégie AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le guide de l'*utilisateur IAM*.
## Exemple de politique : autoriser un rôle IAM à créer des jetons d'accès et à actualiser
La politique d'autorisation suivante accorde des autorisations à `ExampleAppClientRole` un rôle IAM assumé par une charge de travail pour créer et renvoyer des jetons d'accès et d'actualisation.
```
1. {
2. "Version": "2012-10-17",
3. "Statement": [
4. {
5. "Sid": "AllowRoleToCreateTokens",
6. "Effect": "Allow",
7. "Principal": {
8. "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
9. },
10. "Action": "sso-oauth:CreateTokenWithIAM",
11. "Resource": "*"
12. }
13. ]
14. }
```
# AWS politiques gérées pour IAM Identity Center
La [création de politiques gérées par les clients IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui fournissent à votre équipe uniquement les autorisations dont elle a besoin demande du temps et de l'expertise. Pour démarrer rapidement, vous pouvez utiliser des politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d’informations sur les politiques gérées par AWS , consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique **ReadOnlyAccess** AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page [politiques gérées par AWS pour les fonctions de tâche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
De nouvelles actions vous permettant de répertorier et de supprimer des sessions utilisateur sont disponibles dans le nouvel espace de noms`identitystore-auth`. Toutes les autorisations supplémentaires pour les actions dans cet espace de noms seront mises à jour sur cette page. Lorsque vous créez vos politiques IAM personnalisées, évitez d'utiliser `*` after, `identitystore-auth` car cela s'applique à toutes les actions existant dans l'espace de noms aujourd'hui ou à l'avenir.
## AWS politique gérée : AWSSSOMaster AccountAdministrator
La `AWSSSOMasterAccountAdministrator` politique fournit les mesures administratives requises aux directeurs d'école. La politique est destinée aux directeurs qui jouent le rôle d' AWS IAM Identity Center administrateur. Au fil du temps, la liste des actions fournies sera mise à jour pour correspondre aux fonctionnalités existantes d'IAM Identity Center et aux actions requises en tant qu'administrateur.
Vous pouvez associer la politique `AWSSSOMasterAccountAdministrator` à vos identités IAM. Lorsque vous associez la `AWSSSOMasterAccountAdministrator` politique à une identité, vous accordez AWS IAM Identity Center des autorisations administratives. Les principaux détenteurs de cette politique peuvent accéder à IAM Identity Center depuis le compte de AWS Organizations gestion et tous les comptes des membres. Ce principal peut gérer entièrement toutes les opérations du centre d'identité IAM, y compris la possibilité de créer une instance d'IAM Identity Center, des utilisateurs, des ensembles d'autorisations et des attributions. Le principal peut également instancier ces attributions dans les comptes des membres de l' AWS organisation et établir des connexions entre les annuaires AWS Directory Service gérés et IAM Identity Center. Au fur et à mesure que de nouvelles fonctionnalités administratives seront publiées, ces autorisations seront automatiquement accordées à l'administrateur du compte.
Cette politique inclut également AWS Key Management Service les autorisations requises pour les instances IAM Identity Center qui utilisent des clés gérées par le client pour le chiffrement.
**Regroupements d'autorisations**
Cette politique est groupée en instructions basées sur le jeu d'autorisations fourni.
+ `AWSSSOMasterAccountAdministrator`— Permet à IAM Identity Center de [transmettre le rôle de service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nommé `AWSServiceRoleforSSO` à IAM Identity Center afin qu'il puisse ultérieurement assumer le rôle et effectuer des actions en son nom. Cela est nécessaire lorsque la personne ou l'application tente d'activer IAM Identity Center. Pour de plus amples informations, veuillez consulter [Configurer l'accès à Comptes AWS](manage-your-accounts.md).
+ `AWSSSOMemberAccountAdministrator`— Permet à IAM Identity Center d'effectuer des actions d'administrateur de compte dans un environnement multi-comptes AWS . Pour de plus amples informations, veuillez consulter [AWS politique gérée : AWSSSOMember AccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator).
+ `AWSSSOManageDelegatedAdministrator`— Permet à IAM Identity Center d'enregistrer et de désenregistrer un administrateur délégué pour votre organisation.
+ `AllowKMSKeyUseViaService`et `AllowKMSKeyDiscovery` — Autorise les AWS Key Management Service opérations relatives aux clés gérées par le client utilisées par les instances d'IAM Identity Center.
Pour consulter les autorisations associées à cette politique, reportez-vous [AWSSSOMasterAccountAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSOMasterAccountAdministrator.html)à la section *AWS Managed Policy Reference*.
### Informations supplémentaires sur cette politique
Lorsque IAM Identity Center est activé pour la première fois, le service IAM Identity Center crée un [rôle lié au service](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-service-linked-roles.html) dans le compte de AWS Organizations gestion (ancien compte principal) afin que IAM Identity Center puisse gérer les ressources de votre compte. Les actions requises sont `iam:CreateServiceLinkedRole` et`iam:PassRole`.
## AWS politique gérée : AWSSSOMember AccountAdministrator
La `AWSSSOMemberAccountAdministrator` politique fournit les mesures administratives requises aux directeurs d'école. La politique est destinée aux directeurs qui jouent le rôle d'administrateur du centre d'identité IAM. Au fil du temps, la liste des actions fournies sera mise à jour pour correspondre aux fonctionnalités existantes d'IAM Identity Center et aux actions requises en tant qu'administrateur.
Vous pouvez associer la politique `AWSSSOMemberAccountAdministrator` à vos identités IAM. Lorsque vous associez la `AWSSSOMemberAccountAdministrator` politique à une identité, vous accordez AWS IAM Identity Center des autorisations administratives. Les principaux détenteurs de cette politique peuvent accéder à IAM Identity Center depuis le compte de AWS Organizations gestion et tous les comptes des membres. Ce principal peut gérer entièrement toutes les opérations de l'IAM Identity Center, y compris la possibilité de créer des utilisateurs, des ensembles d'autorisations et des attributions. Le principal peut également instancier ces attributions dans les comptes des membres de l' AWS organisation et établir des connexions entre les annuaires AWS Directory Service gérés et IAM Identity Center. À mesure que de nouvelles fonctionnalités administratives sont publiées, ces autorisations sont automatiquement accordées à l'administrateur du compte.
Cette politique inclut également AWS Key Management Service les autorisations requises pour les instances IAM Identity Center qui utilisent des clés gérées par le client pour le chiffrement.
Pour consulter les autorisations associées à cette politique, reportez-vous [AWSSSOMemberAccountAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSOMemberAccountAdministrator.html)à la section *AWS Managed Policy Reference*.
### Informations supplémentaires sur cette politique
Les administrateurs d'IAM Identity Center gèrent les utilisateurs, les groupes et les mots de passe dans leur répertoire Identity Center (répertoire SSO). Le rôle d'administrateur du compte inclut des autorisations pour les actions suivantes :
+ `"sso:*"`
+ `"sso-directory:*"`
Les administrateurs d'IAM Identity Center ont besoin d'autorisations limitées pour effectuer les Directory Service actions suivantes afin d'effectuer les tâches quotidiennes.
+ `"ds:DescribeTrusts"`
+ `"ds:UnauthorizeApplication"`
+ `"ds:DescribeDirectories"`
+ `"ds:AuthorizeApplication"`
+ `“ds:CreateAlias”`
Ces autorisations permettent aux administrateurs d'IAM Identity Center d'identifier les annuaires existants et de gérer les applications afin qu'elles puissent être configurées pour être utilisées avec IAM Identity Center. Pour plus d'informations sur chacune de ces actions, consultez la section [Autorisations d'Directory Service API : référence des actions, des ressources et des conditions](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/UsingWithDS_IAM_ResourcePermissions.html).
IAM Identity Center utilise des politiques IAM pour accorder des autorisations aux utilisateurs d'IAM Identity Center. Les administrateurs d'IAM Identity Center créent des ensembles d'autorisations et y associent des politiques. L'administrateur du centre d'identité IAM doit être autorisé à répertorier les politiques existantes afin de pouvoir choisir les politiques à utiliser avec l'ensemble d'autorisations qu'il crée ou met à jour. Pour définir des autorisations sécurisées et fonctionnelles, l'administrateur du centre d'identité IAM doit disposer des autorisations nécessaires pour exécuter la validation de la politique d'IAM Access Analyzer.
+ `"iam:ListPolicies"`
+ `"access-analyzer:ValidatePolicy"`
Les administrateurs d'IAM Identity Center ont besoin d'un accès limité aux AWS Organizations actions suivantes pour effectuer leurs tâches quotidiennes :
+ `"organizations:EnableAWSServiceAccess"`
+ `"organizations:ListRoots"`
+ `"organizations:ListAccounts"`
+ `"organizations:ListOrganizationalUnitsForParent"`
+ `"organizations:ListAccountsForParent"`
+ `"organizations:DescribeOrganization"`
+ `"organizations:ListChildren"`
+ `"organizations:DescribeAccount"`
+ `"organizations:ListParents"`
+ `"organizations:ListDelegatedAdministrators"`
+ `"organizations:RegisterDelegatedAdministrator"`
+ `"organizations:DeregisterDelegatedAdministrator"`
Ces autorisations permettent aux administrateurs d'IAM Identity Center de travailler avec les ressources de l'organisation (comptes) pour les tâches administratives de base d'IAM Identity Center, telles que les suivantes :
+ Identifier le compte de gestion appartenant à l'organisation
+ Identifier les comptes des membres appartenant à l'organisation
+ Activation AWS de l'accès aux services pour les comptes
+ Configuration et gestion d'un administrateur délégué
Pour plus d'informations sur l'utilisation d'un administrateur délégué avec IAM Identity Center, consultez[Administration déléguée](delegated-admin.md). Pour plus d'informations sur la manière dont ces autorisations sont utilisées AWS Organizations, consultez la section [Utilisation AWS Organizations avec d'autres AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).
## AWS politique gérée : AWSSSODirectory Administrateur
Vous pouvez associer la politique `AWSSSODirectoryAdministrator` à vos identités IAM.
Cette politique accorde des autorisations administratives aux utilisateurs et aux groupes d'IAM Identity Center. Les responsables auxquels cette politique est attachée peuvent apporter des mises à jour aux utilisateurs et aux groupes IAM Identity Center. Cette politique inclut également AWS Key Management Service les autorisations requises pour les instances IAM Identity Center qui utilisent des clés gérées par le client pour le chiffrement.
Cette politique inclut les autorisations suivantes :
+ **Répertoire du centre d'identité IAM** : accès administratif complet aux opérations du répertoire d'IAM Identity Center.
+ **Identity Store** : accès administratif complet aux opérations et à l'authentification du magasin d'identités.
+ **IAM Identity Center** : autorisation de répertorier les associations d'annuaires.
+ **AWS Key Management Service**- Autorisations permettant de déchiffrer, de décrire les clés et de générer des clés de données pour les clés gérées par le client utilisées par les instances d'IAM Identity Center.
Pour consulter les autorisations associées à cette politique, consultez la section [AWSSSODirectoryAdministrateur](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSODirectoryAdministrator.html) dans *AWS Managed Policy Reference*.
## AWS politique gérée : AWSSSORead uniquement
Vous pouvez associer la politique `AWSSSOReadOnly` à vos identités IAM.
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations dans IAM Identity Center. Les principaux auxquels cette politique est attachée ne peuvent pas voir directement les utilisateurs ou les groupes de l'IAM Identity Center. Les principaux auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour dans IAM Identity Center. Par exemple, les principaux disposant de ces autorisations peuvent consulter les paramètres du centre d'identité IAM, mais ne peuvent modifier aucune des valeurs des paramètres.
Cette politique inclut également AWS Key Management Service les autorisations requises pour les instances IAM Identity Center qui utilisent des clés gérées par le client pour le chiffrement.
Pour consulter les autorisations associées à cette politique, reportez-vous à la section [AWSSSOReadUniquement](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSOReadOnly.html) dans la *référence des politiques AWS gérées*.
## AWS politique gérée : AWSSSODirectory ReadOnly
Vous pouvez associer la politique `AWSSSODirectoryReadOnly` à vos identités IAM.
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de visualiser les utilisateurs et les groupes dans IAM Identity Center. Les responsables auxquels cette politique est attachée ne peuvent pas consulter les attributions, les ensembles d'autorisations, les applications ou les paramètres d'IAM Identity Center. Les principaux auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour dans IAM Identity Center. Par exemple, les principaux disposant de ces autorisations peuvent voir les utilisateurs d'IAM Identity Center, mais ils ne peuvent modifier aucun attribut utilisateur ni attribuer de dispositifs MFA.
Cette politique inclut également AWS Key Management Service les autorisations requises pour les instances IAM Identity Center qui utilisent des clés gérées par le client pour le chiffrement.
Pour consulter les autorisations associées à cette politique, reportez-vous [AWSSSODirectoryReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSODirectoryReadOnly.html)à la section *AWS Managed Policy Reference*.
## AWS politique gérée : AWSIdentity SyncFullAccess
Vous pouvez associer la politique `AWSIdentitySyncFullAccess` à vos identités IAM.
Les principaux auxquels cette politique est attachée disposent d'autorisations d'accès complètes pour créer et supprimer des profils de synchronisation, associer ou mettre à jour un profil de synchronisation à une cible de synchronisation, créer, répertorier et supprimer des filtres de synchronisation, et démarrer ou arrêter la synchronisation.
**Détails de l'autorisation**
Pour consulter les autorisations associées à cette politique, reportez-vous [AWSIdentitySyncFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIdentitySyncFullAccess.html)à la section *AWS Managed Policy Reference*.
## AWS politique gérée : AWSIdentity SyncReadOnlyAccess
Vous pouvez associer la politique `AWSIdentitySyncReadOnlyAccess` à vos identités IAM.
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations relatives au profil de synchronisation des identités, aux filtres et aux paramètres cibles. Les principaux auxquels cette politique est attachée ne peuvent pas mettre à jour les paramètres de synchronisation. Par exemple, les principaux disposant de ces autorisations peuvent consulter les paramètres de synchronisation des identités, mais ne peuvent modifier aucune des valeurs de profil ou de filtre.
Pour consulter les autorisations associées à cette politique, reportez-vous [AWSIdentitySyncReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIdentitySyncReadOnlyAccess.html)à la section *AWS Managed Policy Reference*.
## AWS politique gérée : AWSSSOService RolePolicy
Vous ne pouvez pas associer la `AWSSSOServiceRolePolicy` politique à vos identités IAM.
Cette politique est associée à un rôle lié à un service qui permet à IAM Identity Center de déléguer et d'appliquer les utilisateurs disposant d'un accès par authentification unique à un domaine spécifique. Comptes AWS AWS Organizations Lorsque vous activez IAM, un rôle lié à un service est créé Comptes AWS dans l'ensemble de votre organisation. IAM Identity Center crée également le même rôle lié au service dans chaque compte ajouté ultérieurement à votre organisation. Ce rôle permet à IAM Identity Center d'accéder aux ressources de chaque compte en votre nom. Les rôles liés à un service créés dans chacun d'eux Compte AWS sont nommés. `AWSServiceRoleForSSO` Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour IAM Identity Center](using-service-linked-roles.md).
## AWS politique gérée : AWSIAMIdentity CenterAllowListForIdentityContext
Lorsque vous assumez un rôle dans le contexte d'identité de l'IAM Identity Center, AWS Security Token Service (AWS STS) attache automatiquement la `AWSIAMIdentityCenterAllowListForIdentityContext` politique au rôle.
Cette politique fournit la liste des actions autorisées lorsque vous utilisez la propagation d'identité sécurisée avec des rôles assumés dans le contexte d'identité IAM Identity Center. Toutes les autres actions appelées dans ce contexte sont bloquées. Le contexte d'identité est transmis en tant que`ProvidedContext`.
Pour consulter les autorisations associées à cette politique, reportez-vous [AWSIAMIdentityCenterAllowListForIdentityContext](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIAMIdentityCenterAllowListForIdentityContext.html)à la section *AWS Managed Policy Reference*.
## AWS politique gérée : AWSIdentity CenterExternalManagementPolicy
Vous pouvez associer la politique `AWSIdentityCenterExternalManagementPolicy` à vos identités IAM.
Cette politique permet de gérer les utilisateurs d'IAM Identity Center à partir d'un fournisseur externe.
Pour consulter les autorisations associées à cette politique, reportez-vous [AWSIdentityCenterExternalManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIdentityCenterExternalManagementPolicy.html)à la section *AWS Managed Policy Reference*.
## Mises à jour des politiques AWS gérées par IAM Identity Center
Le tableau suivant décrit les mises à jour apportées aux politiques AWS gérées pour IAM Identity Center depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique des documents d'IAM Identity Center.
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSIdentityCenterExternalManagementPolicy](#security-iam-awsmanpol-AWSIdentityCenterExternalManagementPolicy) | Politique gérée mise à jour pour modifier l'ARN du locataire d'approvisionnement. | 5 décembre 2025 |
| [AWSIdentityCenterExternalManagementPolicy](#security-iam-awsmanpol-AWSIdentityCenterExternalManagementPolicy) | Cette politique permet de gérer les utilisateurs d'IAM Identity Center à partir d'un fournisseur externe. | 21 novembre 2025 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator), [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator), [AWSSSOReadUniquement](#security-iam-awsmanpol-AWSSSOReadOnly), [AWSSSODirectoryAdministrateur](#security-iam-awsmanpol-AWSSSODirectoryAdministrator), [AWSSSODirectoryReadOnly](#security-iam-awsmanpol-AWSSSODirectoryReadOnly) | Politiques gérées mises à jour pour inclure AWS KMS les autorisations requises pour les instances IAM Identity Center qui utilisent des clés gérées par le client pour le chiffrement. | 17 septembre 2025 |
| [ AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | Cette politique inclut désormais les autorisations d'appel`identity-sync:DeleteSyncProfile`. | 11 février 2025 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | Cette politique inclut désormais les `qapps:ExportQAppSessionData` actions `qapps:ListQAppSessionData` et destinées à prendre en charge les sessions de console à identité améliorée pour les applications AWS gérées qui prennent en charge ces sessions. | 2 octobre 2024 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | IAM Identity Center a ajouté une nouvelle action pour accorder DeleteSyncProfile des autorisations afin de vous permettre d'utiliser cette politique pour supprimer des profils de synchronisation. Cette action est associée à DeleteInstance l'API. | 26 septembre 2024 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | Cette politique inclut désormais l'`s3:ListCallerAccessGrants`action visant à prendre en charge les sessions de console à identité améliorée pour les applications AWS gérées qui prennent en charge ces sessions. | 4 septembre 2024 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | Cette politique inclut désormais les`aoss:APIAccessAll`,,, `es:ESHttpHead` `es:ESHttpPost` `es:ESHttpGet` `es:ESHttpPatch``es:ESHttpDelete`, et les `es:ESHttpPut` actions visant à prendre en charge les sessions de console à identité améliorée pour les applications AWS gérées qui prennent en charge ces sessions. | 12 juillet 2024 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | Cette politique inclut désormais les`qapps:PredictQApp`,,,`qapps:ImportDocument`,,`qapps:AssociateLibraryItemReview`, `qapps:DisassociateLibraryItemReview` `qapps:GetQAppSession` `qapps:UpdateQAppSession` `qapps:GetQAppSessionMetadata``qapps:UpdateQAppSessionMetadata`, et les `qapps:TagResource` actions visant à prendre en charge les sessions de console à identité améliorée pour les applications AWS gérées qui prennent en charge ces sessions. | 27 juin 2024 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | Cette politique inclut désormais les`elasticmapreduce:AddJobFlowSteps`,, `elasticmapreduce:DescribeCluster` `elasticmapreduce:CancelSteps``elasticmapreduce:DescribeStep`, et les `elasticmapreduce:ListSteps` actions visant à soutenir la propagation d'identités fiables dans Amazon EMR. | 17 mai 2024 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | Cette politique inclut désormais les`qapps:CreateQApp`,,,`qapps:PredictProblemStatementFromConversation`,`qapps:PredictQAppFromProblemStatement`,,`qapps:CopyQApp`,`qapps:GetQApp`,,`qapps:ListQApps`,`qapps:UpdateQApp`,`qapps:DeleteQApp`,,`qapps:AssociateQAppWithUser`,`qapps:DisassociateQAppFromUser`,`qapps:ImportDocumentToQApp`,,`qapps:ImportDocumentToQAppSession`,`qapps:CreateLibraryItem`,`qapps:GetLibraryItem`, `qapps:UpdateLibraryItem` `qapps:CreateLibraryItemReview` `qapps:ListLibraryItems` `qapps:CreateSubscriptionToken``qapps:StartQAppSession`, et les `qapps:StopQAppSession` actions visant à prendre en charge les sessions de console à identité améliorée pour les applications AWS gérées qui prennent en charge ces sessions. | 30 avril 2024 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | Cette politique inclut désormais les `signin:ListTrustedIdentityPropagationApplicationsForConsole` actions `signin:CreateTrustedIdentityPropagationApplicationForConsole` et destinées à prendre en charge les sessions de console à identité améliorée pour les applications AWS gérées qui prennent en charge ces sessions. | 26 avril 2024 |
| [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | Cette politique inclut désormais les `signin:ListTrustedIdentityPropagationApplicationsForConsole` actions `signin:CreateTrustedIdentityPropagationApplicationForConsole` et destinées à prendre en charge les sessions de console à identité améliorée pour les applications AWS gérées qui prennent en charge ces sessions. | 26 avril 2024 |
| [AWSSSOReadUniquement](#security-iam-awsmanpol-AWSSSOReadOnly) | Cette politique inclut désormais l'`signin:ListTrustedIdentityPropagationApplicationsForConsole`action visant à prendre en charge les sessions de console à identité améliorée pour les applications AWS gérées qui prennent en charge ces sessions. | 26 avril 2024 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | Cette politique inclut désormais l'`qbusiness:PutFeedback`action visant à prendre en charge les sessions de console à identité améliorée pour les applications AWS gérées qui prennent en charge ces sessions. | 26 avril 2024 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | Cette politique inclut désormais les`q:StartConversation`,,,`q:SendMessage`,, `q:ListConversations` `q:GetConversation` `q:StartTroubleshootingAnalysis` `q:GetTroubleshootingResults``q:StartTroubleshootingResolutionExplanation`, et les ` q:UpdateTroubleshootingCommandResult` actions visant à prendre en charge les sessions de console à identité améliorée pour les applications AWS gérées qui prennent en charge ces sessions. | 24 avril 2024 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | Cette politique inclut désormais l'`sts:SetContext`action visant à prendre en charge les sessions de console à identité améliorée pour les applications AWS gérées qui prennent en charge ces sessions. | 19 avril 2024 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | Cette politique inclut désormais les`qbusiness:Chat`,, `qbusiness:ChatSync` `qbusiness:ListConversations`` qbusiness:ListMessages`, et les `qbusiness:DeleteConversation` actions visant à prendre en charge les sessions de console à identité améliorée pour les applications AWS gérées qui prennent en charge ces sessions. | 11 avril 2024 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | Cette politique inclut désormais les `s3:GetDataAccess` actions `s3:GetAccessGrantsInstanceForPrefix` et. | 26 novembre 2023 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | Cette politique fournit la liste des actions autorisées lorsque vous utilisez la propagation d'identité sécurisée avec des rôles assumés dans le contexte d'identité IAM Identity Center. | 15 novembre 2023 |
| [AWSSSODirectoryReadOnly](#security-iam-awsmanpol-AWSSSODirectoryReadOnly) | Cette politique inclut désormais le nouvel espace de noms `identitystore-auth` avec de nouvelles autorisations permettant aux utilisateurs de répertorier et d'obtenir des sessions. | 21 février 2023 |
| [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | Cette politique permet désormais de `[UpdateSAMLProvider](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html)` prendre des mesures sur le compte de gestion. | 20 octobre 2022 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | Cette politique inclut désormais le nouvel espace de noms `identitystore-auth` avec de nouvelles autorisations permettant à l'administrateur de répertorier et de supprimer les sessions d'un utilisateur. | 20 octobre 2022 |
| [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | Cette politique inclut désormais le nouvel espace de noms `identitystore-auth` avec de nouvelles autorisations permettant à l'administrateur de répertorier et de supprimer les sessions d'un utilisateur. | 20 octobre 2022 |
| [AWSSSODirectoryAdministrateur](#security-iam-awsmanpol-AWSSSODirectoryAdministrator) | Cette politique inclut désormais le nouvel espace de noms `identitystore-auth` avec de nouvelles autorisations permettant à l'administrateur de répertorier et de supprimer les sessions d'un utilisateur. | 20 octobre 2022 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | Cette politique inclut désormais de nouvelles autorisations `[ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)` d'appel AWS Organizations. Cette politique inclut également désormais un sous-ensemble d'autorisations `AWSSSOManageDelegatedAdministrator` qui inclut les autorisations d'appeler `[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)` et`[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)`. | 16 août 2022 |
| [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | Cette politique inclut désormais de nouvelles autorisations `[ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)` d'appel AWS Organizations. Cette politique inclut également désormais un sous-ensemble d'autorisations `AWSSSOManageDelegatedAdministrator` qui inclut les autorisations d'appeler `[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)` et`[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)`. | 16 août 2022 |
| [AWSSSOReadUniquement](#security-iam-awsmanpol-AWSSSOReadOnly) | Cette politique inclut désormais de nouvelles autorisations `[ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)` d'appel AWS Organizations. | 11 août 2022 |
| [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | Cette politique inclut désormais de nouvelles autorisations pour appeler `[DeleteRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePermissionsBoundary.html)` et`[PutRolePermisionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)`. | 14 juillet 2022 |
| [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | Cette politique inclut désormais de nouvelles autorisations qui autorisent les appels [ListAWSServiceAccessForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAWSServiceAccessForOrganization.html) and [ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html) entrants AWS Organizations. | 11 mai 2022 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) [AWSSSOReadUniquement](#security-iam-awsmanpol-AWSSSOReadOnly) | Ajoutez des autorisations IAM Access Analyzer qui permettent au principal d'utiliser les contrôles de politique à des fins de validation. | 28 avril 2022 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | Cette politique autorise désormais toutes les actions du service IAM Identity Center Identity Store. Pour plus d'informations sur les actions disponibles dans le service IAM Identity Center Identity Store, consultez le document de référence de l'[API IAM Identity Center Identity Store](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html). | 29 mars 2022 |
| [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | Cette politique autorise désormais toutes les actions du service IAM Identity Center Identity Store. | 29 mars 2022 |
| [AWSSSODirectoryAdministrateur](#security-iam-awsmanpol-AWSSSODirectoryAdministrator) | Cette politique autorise désormais toutes les actions du service IAM Identity Center Identity Store. | 29 mars 2022 |
| [AWSSSODirectoryReadOnly](#security-iam-awsmanpol-AWSSSODirectoryReadOnly) | Cette politique donne désormais accès aux actions de lecture du service IAM Identity Center Identity Store. Cet accès est nécessaire pour récupérer les informations relatives aux utilisateurs et aux groupes à partir du service IAM Identity Center Identity Store. | 29 mars 2022 |
| [AWSIdentitySyncFullAccess](#security-iam-awsmanpol-AWSIdentitySyncFullAccess) | Cette politique permet un accès complet aux autorisations de synchronisation des identités. | 3 mars 2022 |
| [AWSIdentitySyncReadOnlyAccess](#security-iam-awsmanpol-AWSIdentitySyncReadOnlyAccess) | Cette politique accorde des autorisations en lecture seule qui permettent au principal de consulter les paramètres de synchronisation des identités. | 3 mars 2022 |
| [AWSSSOReadUniquement](#security-iam-awsmanpol-AWSSSOReadOnly) | Cette politique accorde des autorisations en lecture seule qui permettent au principal de consulter les paramètres de configuration d'IAM Identity Center. | 4 août 2021 |
| IAM Identity Center a commencé à suivre les modifications | IAM Identity Center a commencé à suivre les modifications apportées aux politiques AWS gérées. | 4 août 2021 |
# Utilisation de rôles liés à un service pour IAM Identity Center
AWS IAM Identity Center utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à IAM Identity Center. Il est prédéfini par IAM Identity Center et inclut toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. Pour de plus amples informations, veuillez consulter [Comprendre les rôles liés aux services dans IAM Identity Center](slrconcept.md).
Un rôle lié à un service facilite la configuration d'IAM Identity Center, car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. IAM Identity Center définit les autorisations associées à son rôle lié au service et, sauf indication contraire, seul IAM Identity Center peut assumer ce rôle. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, veuillez consulter [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services où **Oui **figure dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
## Autorisations de rôle liées au service pour IAM Identity Center
IAM Identity Center utilise le rôle lié au service nommé **AWSServiceRoleForSSO** pour accorder à IAM Identity Center les autorisations nécessaires à la gestion des AWS ressources, notamment les rôles IAM, les politiques et l'IdP SAML en votre nom.
Le rôle lié au service AWSService RoleFor SSO fait confiance aux services suivants pour assumer le rôle :
+ IAM Identity Center (préfixe de service :) `sso`
La politique d'autorisation des rôles AWSSSOService RolePolicy liés au service permet à IAM Identity Center d'effectuer les tâches suivantes concernant les rôles situés sur le chemin « /aws-reserved/sso.amazonaws.com/ » et avec le préfixe de nom « SSO\$1 » : AWSReserved
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:DeleteRolePermissionsBoundary`
+ `iam:DeleteRolePolicy`
+ `iam:DetachRolePolicy`
+ `iam:GetRole`
+ `iam:ListRolePolicies`
+ `iam:PutRolePolicy`
+ `iam:PutRolePermissionsBoundary`
+ `iam:ListAttachedRolePolicies`
La politique d'autorisation des rôles AWSSSOService RolePolicy liés au service permet à IAM Identity Center d'effectuer les opérations suivantes sur les fournisseurs SAML dont le préfixe de nom est « \$1 » : AWSSSO
+ `iam:CreateSAMLProvider`
+ `iam:GetSAMLProvider`
+ `iam:UpdateSAMLProvider`
+ `iam:DeleteSAMLProvider`
La politique d'autorisation des rôles AWSSSOService RolePolicy liés au service permet à IAM Identity Center d'effectuer les tâches suivantes pour toutes les organisations :
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListDelegatedAdministrators`
La politique d'autorisation des rôles AWSSSOService RolePolicy liés au service permet à IAM Identity Center d'effectuer les opérations suivantes pour tous les rôles IAM (\$1) :
+ `iam:listRoles`
La politique d'autorisation des rôles AWSSSOService RolePolicy liés au service permet à IAM Identity Center d'effectuer les opérations suivantes sur « arn:aws:iam : :\$1 : » : role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO
+ `iam:GetServiceLinkedRoleDeletionStatus`
+ `iam:DeleteServiceLinkedRole`
La politique d'autorisation des rôles AWSSSOService RolePolicy liés au service permet à IAM Identity Center d'effectuer les opérations suivantes sur « arn:aws:identity-sync : \$1:\$1:profile/\$1 » :
+ `identity-sync:DeleteSyncProfile`
Pour plus d'informations sur les mises à jour de la politique d'autorisation des rôles AWSSSOService RolePolicy liés à un service, consultez. [Mises à jour des politiques AWS gérées par IAM Identity Center](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"IAMRoleProvisioningActions",
"Effect":"Allow",
"Action":[
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:DeleteRolePermissionsBoundary",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription",
"iam:UpdateAssumeRolePolicy"
],
"Resource":[
"arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
],
"Condition":{
"StringNotEquals":{
"aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}"
}
}
},
{
"Sid":"IAMRoleReadActions",
"Effect":"Allow",
"Action":[
"iam:GetRole",
"iam:ListRoles"
],
"Resource":[
"*"
]
},
{
"Sid":"IAMRoleCleanupActions",
"Effect":"Allow",
"Action":[
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:ListRolePolicies",
"iam:ListAttachedRolePolicies"
],
"Resource":[
"arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
]
},
{
"Sid":"IAMSLRCleanupActions",
"Effect":"Allow",
"Action":[
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus",
"iam:DeleteRole",
"iam:GetRole"
],
"Resource":[
"arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO"
]
},
{
"Sid": "IAMSAMLProviderCreationAction",
"Effect": "Allow",
"Action": [
"iam:CreateSAMLProvider"
],
"Resource": [
"arn:aws:iam::*:saml-provider/AWSSSO_*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMSAMLProviderUpdateAction",
"Effect": "Allow",
"Action": [
"iam:UpdateSAMLProvider"
],
"Resource": [
"arn:aws:iam::*:saml-provider/AWSSSO_*"
]
},
{
"Sid":"IAMSAMLProviderCleanupActions",
"Effect":"Allow",
"Action":[
"iam:DeleteSAMLProvider",
"iam:GetSAMLProvider"
],
"Resource":[
"arn:aws:iam::*:saml-provider/AWSSSO_*"
]
},
{
"Effect":"Allow",
"Action":[
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowUnauthAppForDirectory",
"Effect":"Allow",
"Action":[
"ds:UnauthorizeApplication"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowDescribeForDirectory",
"Effect":"Allow",
"Action":[
"ds:DescribeDirectories",
"ds:DescribeTrusts"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowDescribeAndListOperationsOnIdentitySource",
"Effect":"Allow",
"Action":[
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroups",
"identitystore:ListUsers"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowDeleteSyncProfile",
"Effect":"Allow",
"Action":[
"identity-sync:DeleteSyncProfile"
],
"Resource":[
"arn:aws:identity-sync:*:*:profile/*"
]
}
]
}
```
------
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour IAM Identity Center
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Une fois activé, IAM Identity Center crée un rôle lié à un service dans tous les comptes de l'organisation dans Organizations. AWS IAM Identity Center crée également le même rôle lié au service dans chaque compte ajouté ultérieurement à votre organisation. Ce rôle permet à IAM Identity Center d'accéder aux ressources de chaque compte en votre nom.
**Remarques**
Si vous êtes connecté au compte de AWS Organizations gestion, celui-ci utilise votre rôle actuellement connecté et non le rôle lié au service. Cela empêche l'escalade des privilèges.
Lorsque IAM Identity Center effectue des opérations IAM dans le compte de AWS Organizations gestion, toutes les opérations sont effectuées à l'aide des informations d'identification du principal IAM. Cela permet aux connexions de CloudTrail savoir qui a effectué tous les changements de privilèges dans le compte de gestion.
**Important**
Si vous utilisiez le service IAM Identity Center avant le 7 décembre 2017, date à laquelle il a commencé à prendre en charge les rôles liés au service, IAM Identity Center a créé le rôle AWSService RoleFor SSO dans votre compte. Pour plus d'informations, consultez [A New Role Appeared in My IAM Account](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) (Un nouveau rôle est apparu dans mon compte IAM).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour le recréer dans votre compte.
## Modification d'un rôle lié à un service pour IAM Identity Center
IAM Identity Center ne vous permet pas de modifier le rôle lié au service AWSService RoleFor SSO. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Suppression d'un rôle lié à un service pour IAM Identity Center
Il n'est pas nécessaire de supprimer manuellement le rôle AWSService RoleFor SSO. Lorsqu'un Compte AWS est supprimé d'une AWS organisation, IAM Identity Center nettoie automatiquement les ressources et en supprime le rôle lié au service. Compte AWS
Vous pouvez également utiliser la console IAM, la CLI IAM ou l'API IAM pour supprimer manuellement le rôle lié à un service. Pour ce faire, vous devez commencer par nettoyer les ressources de votre rôle lié à un service. Vous pouvez ensuite supprimer ce rôle manuellement.
**Note**
Si le service IAM Identity Center utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources IAM Identity Center utilisées par le SSO AWSService RoleFor**
1. [Supprimer l'accès des utilisateurs et des groupes à un Compte AWS](howtoremoveaccess.md)pour tous les utilisateurs et groupes ayant accès au Compte AWS.
1. [Supprimer des ensembles d'autorisations dans IAM Identity Center](howtoremovepermissionset.md)que vous avez associé au Compte AWS.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, la CLI IAM ou l'API IAM pour supprimer le rôle lié au service AWSService RoleFor SSO. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.