Esempio di policy basato sulle risorse per IAM Identity Center IAM Identity Center - AWS IAM Identity Center
Requisiti per le policyElementi delle policyPolitica di esempio: consenti a un ruolo IAM di creare token di accesso e aggiornamento

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempio di policy basato sulle risorse per IAM Identity Center IAM Identity Center

Ogni applicazione che funziona con IAM Identity Center e utilizza la OAuth versione 2.0 richiede una policy basata sulle risorse. L'applicazione può essere gestita o gestita dal cliente. AWS La policy basata sulle risorse richiesta, denominata policy applicativa (o inclusa ActorPolicyin APIs), definisce quali presidi IAM sono autorizzati a richiamare azioni API del metodo di autenticazione IAM come. CreateTokenWithIAM Il metodo di autenticazione IAM consente a un principale IAM, ad esempio un ruolo o un AWS servizio IAM, di autenticarsi al servizio OIDC di IAM Identity Center presentando le credenziali IAM per richiedere o gestire i token di accesso su /token? endpoint aws_iam=t.

La politica dell'applicazione regola le operazioni per l'emissione di token (). CreateTokenWithIAM La policy regola anche le azioni basate sui soli permessi che vengono utilizzate solo dalle applicazioni AWS gestite per convalidare i token () e revocare i token (). IntrospectTokenWithIAM RevokeTokenWithIAM Per un'applicazione gestita dal cliente, è possibile configurare questa policy specificando quali presidi IAM sono autorizzati a chiamare. CreateTokenWithIAM Quando un preside autorizzato richiama questa azione API, riceve i token di accesso e aggiornamento per l'applicazione.

Se stai utilizzando la console IAM Identity Center per configurare un'applicazione gestita dal cliente per la propagazione dell'identità affidabile, consulta la Fase 4 in Configurazione delle applicazioni gestite dal cliente OAuth 2.0 per informazioni su come configurare la politica dell'applicazione. Per un esempio di policy, vedi Politica di esempio: consenti a un ruolo IAM di creare token di accesso e aggiornamento più avanti in questo argomento.

Requisiti per le policy

La politica deve soddisfare i seguenti requisiti:

  • La politica deve includere un Version elemento impostato su «2012-10-17".

  • La politica deve includere almeno un elemento. Statement

  • Ogni politica Statement deve includere i seguenti elementi: EffectPrincipal,Action, eResource.

Elementi delle policy

La politica deve includere i seguenti elementi:

Versione

Speciifica la versione del documento di policy. Impostare la versione su 2012-10-17 (la versione più recente).

Dichiarazione

Contiene la politicaStatements. La politica deve contenerne almeno unaStatement.

Ogni politica Statement è composta dai seguenti elementi.

Effetto

(Obbligatorio) Specifica se concedere o negare le autorizzazioni nell'istruzione di policy. I valori validi sono Allow e Deny.

Principale

(Obbligatorio) Il principale è l'identità che ottiene le autorizzazioni specificate nell'istruzione di policy. È possibile specificare i ruoli o i responsabili AWS del servizio IAM.

Azione

(Obbligatorio) Le operazioni dell'API del servizio IAM Identity Center OIDC da consentire o negare. Le azioni valide includono:

  • sso-oauth:CreateTokenWithIAM: Questa azione, che corrisponde al funzionamento dell'CreateTokenWithIAMAPI, concede l'autorizzazione a creare e restituire token di accesso e aggiornamento per le applicazioni client autorizzate autenticate utilizzando qualsiasi entità IAM, come un ruolo di AWS servizio o un utente. Questi token possono contenere ambiti definiti che specificano autorizzazioni come o. read:profile write:data

  • sso-oauth:IntrospectTokenWithIAM[solo autorizzazione]: concede l'autorizzazione a convalidare e recuperare informazioni sui token di accesso e sui token di aggiornamento attivi OAuth 2.0, inclusi gli ambiti e le autorizzazioni associati. Questa autorizzazione viene utilizzata solo dalle applicazioni AWS gestite e non è documentata nell'IAM Identity Center OIDC API Reference.

  • RevokeTokenWithIAM [solo autorizzazione]: concede l'autorizzazione a revocare i token di accesso OAuth 2.0 e aggiornare i token, invalidandoli prima della loro normale scadenza. Questa autorizzazione viene utilizzata solo dalle applicazioni AWS gestite e non è documentata nello IAM Identity Center OIDC API Reference.

Risorsa

(Obbligatorio) In questa policy, il valore dell'Resourceelemento è"*", che significa «questa applicazione».

Per ulteriori informazioni sulla sintassi delle AWS policy, consulta AWS IAM Policy Reference nella IAM User Guide.

Politica di esempio: consenti a un ruolo IAM di creare token di accesso e aggiornamento

La seguente politica di autorizzazione concede le autorizzazioni aExampleAppClientRole, un ruolo IAM assunto da un carico di lavoro, per creare e restituire token di accesso e aggiornamento. 

{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
            "Sid": "AllowRoleToCreateTokens",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
            },
            "Action": "sso-oauth:CreateTokenWithIAM",
            "Resource": "*"
        }
    ]
}