IAM Identity Center IAM Identity Center のリソースベースのポリシーの例 - AWS IAM Identity Center
ポリシーの要件ポリシーの要素ポリシーの例: アクセストークンの作成と更新を IAM ロールに許可する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center IAM Identity Center のリソースベースのポリシーの例

IAM Identity Center と連携し、OAuth 2.0 を使用するすべてのアプリケーションには、リソースベースのポリシーが必要です。アプリケーションは、カスタマー管理でも AWS マネージドでもかまいません。アプリケーションポリシー (または APIs の ActorPolicy) と呼ばれる必要なリソースベースのポリシーは、 などの IAM 認証メソッド API アクションを呼び出すことを許可されている IAM プリンシパルを定義しますCreateTokenWithIAM。IAM 認証方法を使用すると、IAM ロールや AWS サービスなどの IAM プリンシパルは、IAM 認証情報を提示して IAM アイデンティティセンターの OIDC サービスに対して認証を行い、/token?aws_iam=t エンドポイントでアクセストークンをリクエストまたは管理できます。

アプリケーションポリシーは、トークンの発行オペレーションを管理します (CreateTokenWithIAM)。このポリシーは、トークンの検証 (IntrospectTokenWithIAM) とトークンの取り消し () のために AWS マネージドアプリケーションによってのみ使用されるアクセス許可のみのアクションも管理しますRevokeTokenWithIAM。カスタマーマネージドアプリケーションの場合、 を呼び出す権限がある IAM プリンシパルを指定して、このポリシーを設定しますCreateTokenWithIAM。承認されたプリンシパルがこの API アクションを呼び出すと、プリンシパルはアプリケーションのアクセストークンと更新トークンを受け取ります。

IAM Identity Center コンソールを使用して信頼できる ID の伝播用にカスタマーマネージドアプリケーションをセットアップする場合は、「カスタマーマネージド OAuth 2.0 アプリケーションのセットアップ」のステップ 4 を参照して、アプリケーションポリシーを設定する方法を確認してください。ポリシーの例については、このトピックのポリシーの例: アクセストークンの作成と更新を IAM ロールに許可する後半の「」を参照してください。

ポリシーの要件

ポリシーは、次の要件を満たしている必要があります。

  • ポリシーには、「2012-10-17」に設定されたVersion 要素を含める必要があります。

  • ポリシーには、少なくとも 1 つの Statement 要素を含める必要があります。

  • 各ポリシーには、、EffectPrincipalActionおよび の要素を含めるStatement必要がありますResource

ポリシーの要素

ポリシーには、次の要素を含める必要があります。

バージョン

ポリシードキュメントのバージョンを指定します。バージョンを 2012-10-17 (最新バージョン) に設定します。

Statement

ポリシー が含まれますStatements。ポリシーには、少なくとも 1 つの が含まれている必要がありますStatement

各ポリシーStatementは、次の要素で構成されます。

Effect

(必須) ポリシーステートメント内の許可を許容するか拒否するかを決定します。有効な値は Allow または Deny です。

Principal

(必須) プリンシパルは、ポリシーステートメントで指定されている許可を取得するアイデンティティです。IAM ロールまたは AWS サービスプリンシパルを指定できます。

アクション

(必須) 許可または拒否する IAM Identity Center OIDC サービス API オペレーション。有効なアクションは次のとおりです。

  • sso-oauth:CreateTokenWithIAM: CreateTokenWithIAM API オペレーションに対応するこのアクションは、 AWS サービスロールやユーザーなどの IAM エンティティを使用して認証された承認済みクライアントアプリケーションのアクセストークンと更新トークンを作成および返すアクセス許可を付与します。これらのトークンには、 read:profileや などのアクセス許可を指定する定義済みのスコープが含まれる場合がありますwrite:data

  • sso-oauth:IntrospectTokenWithIAM [アクセス許可のみ]: アクティブな OAuth 2.0 アクセストークンと更新トークンに関する情報を検証および取得するアクセス許可を付与します。これには、関連するスコープとアクセス許可が含まれます。このアクセス許可は AWS マネージドアプリケーションでのみ使用され、IAM Identity Center OIDC API リファレンスには記載されていません。

  • RevokeTokenWithIAM 〔アクセス許可のみ]: OAuth 2.0 アクセストークンと更新トークンを取り消し、通常の有効期限が切れる前に無効にするアクセス許可を付与します。このアクセス許可は AWS マネージドアプリケーションでのみ使用され、IAM Identity Center OIDC API リファレンスには記載されていません。

リソース

(必須) このポリシーでは、 Resource要素の値は です。これは"*"「このアプリケーション」を意味します。

AWS ポリシー構文の詳細については、IAM AWS ユーザーガイドの「IAM ポリシーリファレンス」を参照してください。

ポリシーの例: アクセストークンの作成と更新を IAM ロールに許可する

次のアクセス許可ポリシーはExampleAppClientRole、ワークロードが引き受ける IAM ロールである にアクセストークンを作成して返すアクセス許可を付与します。

{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
            "Sid": "AllowRoleToCreateTokens",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
            },
            "Action": "sso-oauth:CreateTokenWithIAM",
            "Resource": "*"
        }
    ]
}