View a markdown version of this page

Utilizzo di ruoli collegati ai servizi per IAM Identity Center - AWS IAM Identity Center
Service-linked autorizzazioni di ruolo per IAM Identity CenterCreazione di un ruolo collegato ai servizi per IAM Identity CenterModifica di un ruolo collegato al servizio per IAM Identity CenterEliminazione di un ruolo collegato al servizio per IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per IAM Identity Center

AWS IAM Identity Center utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a IAM Identity Center. È predefinito da IAM Identity Center e include tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto. Per ulteriori informazioni, consulta Comprensione dei ruoli collegati ai servizi in IAM Identity Center.

Un ruolo collegato al servizio semplifica la configurazione di IAM Identity Center perché non è necessario aggiungere manualmente le autorizzazioni necessarie. IAM Identity Center definisce le autorizzazioni del suo ruolo collegato al servizio e, se non diversamente definito, solo IAM Identity Center può assumerne il ruolo. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta AWS Servizi che funzionano con IAM e cerca i servizi con nella colonna Ruolo. Service-Linked Scegliere in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.

Service-linked autorizzazioni di ruolo per IAM Identity Center

IAM Identity Center utilizza il ruolo collegato al servizio denominato AWSServiceRoleForSSOper concedere a IAM Identity Center le autorizzazioni per gestire le AWS risorse, inclusi i ruoli IAM, le policy e l'IdP SAML per tuo conto.

Il ruolo AWSServiceRoleForSSO collegato al servizio prevede che i seguenti servizi assumano il ruolo:

  • IAM Identity Center (prefisso del servizio:) sso

La politica di autorizzazione dei ruoli AWSSSOServiceRolePolicy collegati ai servizi consente a IAM Identity Center di completare quanto segue sui ruoli nel percorso «/aws- reserved/sso .amazonaws.com/» e con il prefisso «awsReservedSSO_»:

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:DeleteRole

  • iam:DeleteRolePermissionsBoundary

  • iam:DeleteRolePolicy

  • iam:DetachRolePolicy

  • iam:GetRole

  • iam:ListRolePolicies

  • iam:PutRolePolicy

  • iam:PutRolePermissionsBoundary

  • iam:ListAttachedRolePolicies

La politica di autorizzazione dei ruoli AWSSSOServiceRolePolicy collegati ai servizi consente a IAM Identity Center di completare quanto segue sui provider SAML con il prefisso «AWSSSO_»:

  • iam:CreateSAMLProvider

  • iam:GetSAMLProvider

  • iam:UpdateSAMLProvider

  • iam:DeleteSAMLProvider

La policy di autorizzazione dei ruoli AWSSSOServiceRolePolicy collegati al servizio consente a IAM Identity Center di completare quanto segue in tutte le organizzazioni:

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:ListDelegatedAdministrators

La policy AWSSSOServiceRolePolicy di autorizzazione dei ruoli collegati al servizio consente a IAM Identity Center di completare quanto segue su tutti i ruoli IAM (*):

  • iam:listRoles

La policy di autorizzazione dei ruoli AWSSSOServiceRolePolicy collegati ai servizi consente a IAM Identity Center di completare quanto segue su «arn:aws:iam: :*: -service- .amazonaws. role/aws role/sso com/AWSServiceRoleForSSO»:

  • iam:GetServiceLinkedRoleDeletionStatus

  • iam:DeleteServiceLinkedRole

La policy di autorizzazione dei ruoli AWSSSOServiceRolePolicy collegati ai servizi consente a IAM Identity Center di completare quanto segue su «arn:aws:identity-sync: *:*:profile/*»:

  • identity-sync:DeleteSyncProfile

Per ulteriori informazioni IAM Identity Center si aggiorna a AWS policy gestite sugli aggiornamenti AWSSSOServiceRolePolicy alla politica di autorizzazione dei ruoli collegati al servizio, consulta.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"IAMRoleProvisioningActions",
         "Effect":"Allow",
         "Action":[
            "iam:AttachRolePolicy",
            "iam:CreateRole",
            "iam:DeleteRolePermissionsBoundary",
            "iam:PutRolePermissionsBoundary",
            "iam:PutRolePolicy",
            "iam:UpdateRole",
            "iam:UpdateRoleDescription",
            "iam:UpdateAssumeRolePolicy"
         ],
         "Resource":[
            "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
         ],
         "Condition":{
            "StringNotEquals":{
               "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}"
            }
         }
      },
      {
         "Sid":"IAMRoleReadActions",
         "Effect":"Allow",
         "Action":[
            "iam:GetRole",
            "iam:ListRoles"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"IAMRoleCleanupActions",
         "Effect":"Allow",
         "Action":[
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy",
            "iam:ListRolePolicies",
            "iam:ListAttachedRolePolicies"
         ],
         "Resource":[
            "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
         ]
      },
      {
         "Sid":"IAMSLRCleanupActions",
         "Effect":"Allow",
         "Action":[
            "iam:DeleteServiceLinkedRole",
            "iam:GetServiceLinkedRoleDeletionStatus",
            "iam:DeleteRole",
            "iam:GetRole"
         ],
         "Resource":[
            "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO"
         ]
      },
      {
        "Sid": "IAMSAMLProviderCreationAction",
        "Effect": "Allow",
        "Action": [
          "iam:CreateSAMLProvider"
      ],
      "Resource": [
         "arn:aws:iam::*:saml-provider/AWSSSO_*"
       ],
      "Condition": {
         "StringNotEquals": {
            "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}"
          }
        }
      },
      {
        "Sid": "IAMSAMLProviderUpdateAction",
        "Effect": "Allow",
        "Action": [
          "iam:UpdateSAMLProvider"
        ],
        "Resource": [
           "arn:aws:iam::*:saml-provider/AWSSSO_*"
        ]
      }, 
      {
         "Sid":"IAMSAMLProviderCleanupActions",
         "Effect":"Allow",
         "Action":[
            "iam:DeleteSAMLProvider",
            "iam:GetSAMLProvider"
         ],
         "Resource":[
            "arn:aws:iam::*:saml-provider/AWSSSO_*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListDelegatedAdministrators"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"AllowUnauthAppForDirectory",
         "Effect":"Allow",
         "Action":[
            "ds:UnauthorizeApplication"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"AllowDescribeForDirectory",
         "Effect":"Allow",
         "Action":[
            "ds:DescribeDirectories",
            "ds:DescribeTrusts"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"AllowDescribeAndListOperationsOnIdentitySource",
         "Effect":"Allow",
         "Action":[
            "identitystore:DescribeUser",
            "identitystore:DescribeGroup",
            "identitystore:ListGroups",
            "identitystore:ListUsers"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"AllowDeleteSyncProfile",
         "Effect":"Allow",
         "Action":[
            "identity-sync:DeleteSyncProfile"
         ],
         "Resource":[
            "arn:aws:identity-sync:*:*:profile/*"
         ]
      }
   ]    
}

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta le autorizzazioni dei Service-linked ruoli nella Guida per l'utente IAM.

Creazione di un ruolo collegato ai servizi per IAM Identity Center

Non è necessario creare manualmente un ruolo collegato ai servizi. Una volta abilitato, IAM Identity Center crea un ruolo collegato ai servizi in tutti gli account all'interno dell'organizzazione in Organizations AWS . IAM Identity Center crea inoltre lo stesso ruolo collegato ai servizi in ogni account che viene successivamente aggiunto all'organizzazione. Questo ruolo consente a IAM Identity Center di accedere alle risorse di ciascun account per tuo conto.

Note

  • Se hai effettuato l'accesso all'account di AWS Organizations gestione, questo utilizza il ruolo attualmente connesso e non il ruolo collegato al servizio. Ciò impedisce l'aumento dei privilegi.

  • Quando IAM Identity Center esegue qualsiasi operazione IAM nell'account di AWS Organizations gestione, tutte le operazioni avvengono utilizzando le credenziali del responsabile IAM. Ciò consente agli accessi di CloudTrail fornire la visibilità di chi ha apportato tutte le modifiche ai privilegi nell'account di gestione.

Importante

Se utilizzavi il servizio IAM Identity Center prima del 7 dicembre 2017, quando ha iniziato a supportare i ruoli collegati al servizio, IAM Identity Center ha creato il AWSServiceRoleForSSO ruolo nel tuo account. Per ulteriori informazioni, consulta Un nuovo ruolo è apparso nel mio account IAM.

Se elimini questo ruolo collegato ai servizi e devi crearlo di nuovo, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account.

Modifica di un ruolo collegato al servizio per IAM Identity Center

IAM Identity Center non consente di modificare il ruolo collegato al AWSServiceRoleForSSO servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l’utente di IAM.

Eliminazione di un ruolo collegato al servizio per IAM Identity Center

Non è necessario eliminare manualmente il ruolo. AWSServiceRoleForSSO Quando un Account AWS viene rimosso da un' AWS organizzazione, IAM Identity Center ripulisce automaticamente le risorse ed elimina il ruolo collegato al servizio. Account AWS

Puoi anche utilizzare la console IAM, la CLI IAM o l'API IAM per eliminare manualmente il ruolo collegato al servizio. Per farlo, sarà necessario prima eseguire manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi eliminarlo manualmente.

Nota

Se il servizio IAM Identity Center utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.

Per eliminare le risorse IAM Identity Center utilizzate da AWSServiceRoleForSSO

  1. Rimuovere l'accesso di utenti e gruppi a un Account AWSper tutti gli utenti e i gruppi che hanno accesso a Account AWS.

  2. Rimuovi i set di autorizzazioni in IAM Identity Centerche hai associato a Account AWS.

Per eliminare manualmente il ruolo collegato ai servizi mediante IAM

Usa la console IAM, la CLI IAM oppure l’API IAM per eliminare il ruolo collegato al servizio AWSServiceRoleForSSO. Per ulteriori informazioni, consulta Eliminazione di un Service-Linked ruolo nella Guida per l'utente IAM.