Contoh kebijakan berbasis sumber daya untuk IAM Identity Center IAM Identity Center - AWS IAM Identity Center
Persyaratan kebijakanElemen kebijakanContoh kebijakan: Izinkan peran IAM untuk membuat akses dan menyegarkan token

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan berbasis sumber daya untuk IAM Identity Center IAM Identity Center

Setiap aplikasi yang bekerja dengan IAM Identity Center dan menggunakan OAuth 2.0 memerlukan kebijakan berbasis sumber daya. Aplikasi dapat dikelola atau AWS dikelola oleh pelanggan. Kebijakan berbasis sumber daya yang diperlukan, yang disebut kebijakan aplikasi (atau ActorPolicydalam APIs), mendefinisikan prinsip IAM mana yang berwenang untuk memanggil tindakan API metode otentikasi IAM seperti. CreateTokenWithIAM Metode otentikasi IAM memungkinkan prinsipal IAM, seperti peran IAM atau layanan, untuk mengautentikasi ke AWS layanan IAM Identity Center OIDC dengan menghadirkan kredenal IAM untuk meminta atau mengelola token akses di /token? aws_iam=t titik akhir.

Kebijakan aplikasi mengatur operasi untuk mengeluarkan token ()CreateTokenWithIAM. Kebijakan ini juga mengatur tindakan khusus izin yang hanya digunakan oleh aplikasi AWS terkelola untuk memvalidasi token (IntrospectTokenWithIAM) dan mencabut token (). RevokeTokenWithIAM Untuk aplikasi yang dikelola pelanggan, Anda mengonfigurasi kebijakan ini dengan menentukan prinsipal IAM mana yang diizinkan untuk dihubungi. CreateTokenWithIAM Saat prinsipal yang berwenang memanggil tindakan API ini, prinsipal menerima token akses dan penyegaran untuk aplikasi.

Jika Anda menggunakan konsol IAM Identity Center untuk menyiapkan aplikasi yang dikelola pelanggan untuk propagasi identitas tepercaya, lihat Langkah 4 dalam Menyiapkan aplikasi OAuth 2.0 yang dikelola pelanggan untuk informasi tentang cara mengonfigurasi kebijakan aplikasi. Untuk contoh kebijakan, lihat Contoh kebijakan: Izinkan peran IAM untuk membuat akses dan menyegarkan token nanti dalam topik ini.

Persyaratan kebijakan

Kebijakan harus memenuhi persyaratan berikut:

  • Kebijakan harus menyertakan Version elemen yang disetel ke “2012-10-17".

  • Kebijakan harus mencakup setidaknya satu Statement elemen.

  • Setiap kebijakan Statement harus mencakup elemen-elemen berikut:Effect,Principal,Action, danResource.

Elemen kebijakan

Kebijakan harus mencakup elemen-elemen berikut:

Versi

Menentukan versi dokumen kebijakan. Setel versi ke 2012-10-17 (versi terbaru).

Pernyataan

Berisi kebijakanStatements. Kebijakan harus mengandung setidaknya satuStatement.

Setiap kebijakan Statement terdiri dari elemen-elemen berikut.

Efek

(Wajib) Menentukan apakah akan mengizinkan atau menolak izin dalam pernyataan kebijakan. Nilai-nilai yang valid adalah Allow atau Deny.

Utama

(Wajib) Prinsipal adalah identitas yang mendapatkan izin yang ditentukan dalam pernyataan kebijakan. Anda dapat menentukan peran IAM atau prinsip AWS layanan.

Tindakan

(Wajib) Operasi API layanan IAM Identity Center OIDC untuk mengizinkan atau menolak. Tindakan yang valid meliputi:

  • sso-oauth:CreateTokenWithIAM: Tindakan ini, yang sesuai dengan operasi CreateTokenWithIAMAPI, memberikan izin untuk membuat dan mengembalikan akses dan menyegarkan token untuk aplikasi klien resmi yang diautentikasi menggunakan entitas IAM apa pun, seperti peran AWS layanan atau pengguna. Token ini mungkin berisi cakupan yang ditentukan yang menentukan izin seperti read:profile atau. write:data

  • sso-oauth:IntrospectTokenWithIAM[hanya izin]: Memberikan izin untuk memvalidasi dan mengambil informasi tentang token akses OAuth 2.0 aktif dan token penyegaran, termasuk cakupan dan izin terkait. Izin ini hanya digunakan oleh aplikasi yang AWS dikelola dan tidak didokumentasikan dalam Referensi API OIDC Pusat Identitas IAM.

  • RevokeTokenWithIAM [hanya izin]: Memberikan izin untuk mencabut token akses OAuth 2.0 dan menyegarkan token, membatalkannya sebelum kedaluwarsa normal. Izin ini hanya digunakan oleh aplikasi yang AWS dikelola dan tidak didokumentasikan dalam Referensi API OIDC Pusat Identitas IAM.

Sumber Daya

(Wajib) Dalam kebijakan ini, nilai Resource elemen adalah"*", yang berarti “aplikasi ini.”

Untuk informasi selengkapnya tentang sintaks AWS kebijakan, lihat Referensi Kebijakan AWS IAM di Panduan Pengguna IAM.

Contoh kebijakan: Izinkan peran IAM untuk membuat akses dan menyegarkan token

Kebijakan izin berikut memberikan izin untukExampleAppClientRole, peran IAM yang diasumsikan oleh beban kerja, untuk membuat dan mengembalikan akses dan menyegarkan token. 

{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
            "Sid": "AllowRoleToCreateTokens",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
            },
            "Action": "sso-oauth:CreateTokenWithIAM",
            "Resource": "*"
        }
    ]
}