Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Esempio di policy basato sulle risorse per IAM Identity Center (IAM Identity Center)
Ogni applicazione che funziona con IAM Identity Center e utilizza la [OAuth versione 2.0](customermanagedapps-saml2-oauth2.md#oidc-concept) richiede una policy basata sulle risorse. L'applicazione può essere gestita o gestita dal cliente. AWS La policy basata sulle risorse richiesta, denominata policy dell'*applicazione* (o [ActorPolicy](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_IamAuthenticationMethod.html#API_IamAuthenticationMethod_Contents)nella APIs), definisce quali [presidi IAM sono autorizzati a richiamare azioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) API del metodo di autenticazione IAM come. [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) **Il metodo di autenticazione IAM consente a un principale IAM, ad esempio un ruolo o un AWS servizio IAM, di autenticarsi al servizio OIDC di IAM Identity Center presentando le credenziali IAM per richiedere o gestire i token di accesso su /token? endpoint aws\$1iam=t.**
La politica dell'applicazione regola le operazioni per l'emissione di token (). `CreateTokenWithIAM` La policy regola anche le azioni basate sui soli permessi che vengono utilizzate solo dalle applicazioni AWS gestite per convalidare i token () e revocare i token (). `IntrospectTokenWithIAM` `RevokeTokenWithIAM` Per un'applicazione gestita dal cliente, è possibile configurare questa policy specificando quali presidi IAM sono autorizzati a chiamare. `CreateTokenWithIAM` Quando un preside autorizzato richiama questa azione API, riceve i token di accesso e aggiornamento per l'applicazione.
Se stai utilizzando la console IAM Identity Center per configurare un'applicazione gestita dal cliente per la [propagazione dell'identità affidabile](trustedidentitypropagation-overview.md), consulta il Passaggio 4 in [Configurazione delle applicazioni gestite dal cliente OAuth 2.0](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md) per informazioni su come configurare la politica dell'applicazione. Per un esempio di policy, vedi [Politica di esempio: consenti a un ruolo IAM di creare token di accesso e aggiornamento](#oauth-application-policy-example) più avanti in questo argomento.
## Requisiti delle politiche
La politica deve soddisfare i seguenti requisiti:
+ La politica deve includere un `Version ` elemento impostato su «2012-10-17".
+ La politica deve includere almeno un elemento. `Statement`
+ Ogni politica `Statement` deve includere i seguenti elementi: `Effect``Principal`,`Action`, e`Resource`.
## Elementi delle policy
La politica deve includere i seguenti elementi:
**Versione**
Specifica la versione del documento di policy. Impostare la versione su `2012-10-17` (la versione più recente).
**Dichiarazione**
Contiene la politica`Statements`. La politica deve contenerne almeno una`Statement`.
Ogni politica `Statement` è composta dai seguenti elementi.
**Effetto**
(Obbligatorio) Specifica se concedere o negare le autorizzazioni nell'istruzione di policy. I valori validi sono `Allow` e `Deny`.
**Principale**
(Obbligatorio) Il [principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) è l'identità che ottiene le autorizzazioni specificate nell'istruzione di policy. Puoi specificare i ruoli o i responsabili AWS del servizio IAM.
**Azione**
(Obbligatorio) Le operazioni dell'API del servizio IAM Identity Center OIDC da consentire o negare. Le azioni valide includono:
+ `sso-oauth:CreateTokenWithIAM`: Questa azione, che corrisponde al funzionamento dell'[https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)API, concede l'autorizzazione a creare e restituire token di accesso e aggiornamento per le applicazioni client autorizzate autenticate utilizzando qualsiasi entità IAM, come un ruolo di AWS servizio o un utente. Questi token possono contenere ambiti definiti che specificano autorizzazioni come o. `read:profile` `write:data`
+ `sso-oauth:IntrospectTokenWithIAM`[solo autorizzazione]: concede l'autorizzazione a convalidare e recuperare informazioni sui token di accesso e sui token di aggiornamento attivi OAuth 2.0, inclusi gli ambiti e le autorizzazioni associati. *Questa autorizzazione viene utilizzata solo dalle applicazioni AWS gestite e non è documentata nell'IAM Identity Center OIDC API Reference.*
+ `RevokeTokenWithIAM `[solo autorizzazione]: concede l'autorizzazione a revocare i token di accesso OAuth 2.0 e aggiornare i token, invalidandoli prima della loro normale scadenza. *Questa autorizzazione viene utilizzata solo dalle applicazioni AWS gestite e non è documentata nello IAM Identity Center OIDC API Reference.*
**Risorsa**
(Obbligatorio) In questa policy, il valore dell'`Resource`elemento è`"*"`, che significa «questa applicazione».
Per ulteriori informazioni sulla sintassi delle AWS policy, consulta [AWS IAM Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *IAM User Guide*.
## Politica di esempio: consenti a un ruolo IAM di creare token di accesso e aggiornamento
La seguente politica di autorizzazione concede le autorizzazioni a`ExampleAppClientRole`, un ruolo IAM assunto da un carico di lavoro, per creare e restituire token di accesso e aggiornamento.
```
1. {
2. "Version": "2012-10-17",
3. "Statement": [
4. {
5. "Sid": "AllowRoleToCreateTokens",
6. "Effect": "Allow",
7. "Principal": {
8. "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
9. },
10. "Action": "sso-oauth:CreateTokenWithIAM",
11. "Resource": "*"
12. }
13. ]
14. }
```