IAM Identity Center IAM Identity Center에 대한 리소스 기반 정책 예제 - AWS IAM Identity Center
정책 요구 사항정책 요소예제 정책: IAM 역할이 액세스 및 새로 고침 토큰을 생성하도록 허용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Identity Center IAM Identity Center에 대한 리소스 기반 정책 예제

IAM Identity Center에서 작동하고 OAuth 2.0을 사용하는 모든 애플리케이션에는 리소스 기반 정책이 필요합니다. 애플리케이션은 고객 관리형 또는 AWS 관리형일 수 있습니다. 애플리케이션 정책(또는 APIs의 ActorPolicy ActorPolicy)이라고 하는 필수 리소스 기반 정책은와 같은 IAM 인증 방법 API 작업을 호출할 권한이 있는 IAM 보안 주체를 정의합니다CreateTokenWithIAM. IAM 인증 방법을 사용하면 IAM 역할 또는 AWS 서비스와 같은 IAM 보안 주체가 IAM 자격 증명을 제시하여 /token?aws_iam=t 엔드포인트에서 액세스 토큰을 요청하거나 관리하여 IAM Identity Center OIDC 서비스에 인증할 수 있습니다.

애플리케이션 정책은 토큰() 발급 작업을 관리합니다CreateTokenWithIAM. 또한이 정책은 토큰 검증(IntrospectTokenWithIAM) 및 토큰 취소()를 위해 AWS 관리형 애플리케이션에서만 사용하는 권한 전용 작업을 관리합니다RevokeTokenWithIAM. 고객 관리형 애플리케이션의 경우를 호출할 권한이 있는 IAM 보안 주체를 지정하여이 정책을 구성합니다CreateTokenWithIAM. 권한이 있는 보안 주체가이 API 작업을 호출하면 보안 주체는 애플리케이션에 대한 액세스 및 새로 고침 토큰을 받습니다.

IAM Identity Center 콘솔을 사용하여 신뢰할 수 있는 ID 전파를 위한 고객 관리형 애플리케이션을 설정하는 경우 애플리케이션 정책을 구성하는 방법에 대한 자세한 내용은 고객 관리형 OAuth 2.0 애플리케이션 설정의 4단계를 참조하세요. 정책 예제는이 주제의 예제 정책: IAM 역할이 액세스 및 새로 고침 토큰을 생성하도록 허용뒷부분에서 단원을 참조하십시오.

정책 요구 사항

정책은 다음 요구 사항을 충족해야 합니다.

  • 정책에는 "2012-10-17"로 설정된 Version 요소가 포함되어야 합니다.

  • 정책에는 하나 이상의 Statement 요소가 포함되어야 합니다.

  • 각 정책에는 Effect, Principal, 및 요소가 포함되어야 Statement 합니다ActionResource.

정책 요소

정책에는 다음 요소가 포함되어야 합니다.

버전

정책 문서 버전을 지정합니다. 버전을 2012-10-17(최신 버전)로 설정합니다.

명령

정책를 포함합니다Statements. 정책에는가 하나 이상 포함되어야 합니다Statement.

각 정책은 다음 요소로 Statement 구성됩니다.

Effect

(필수) 정책 문에서 권한을 허용할지 거부할지를 결정합니다. 유효한 값은 Allow 또는 Deny입니다.

Principal

(필수) 보안 주체는 정책 설명에 지정된 권한을 갖는 자격 증명입니다. IAM 역할 또는 AWS 서비스 보안 주체를 지정할 수 있습니다.

작업

(필수) 허용하거나 거부할 IAM Identity Center OIDC 서비스 API 작업입니다. 유효한 작업은 다음과 같습니다.

  • sso-oauth:CreateTokenWithIAM: CreateTokenWithIAM API 작업에 해당하는이 작업은 AWS 서비스 역할 또는 사용자와 같은 IAM 엔터티를 사용하여 인증된 승인된 클라이언트 애플리케이션에 대한 액세스 및 새로 고침 토큰을 생성하고 반환할 수 있는 권한을 부여합니다. 이러한 토큰에는 read:profile 또는와 같은 권한을 지정하는 정의된 범위가 포함될 수 있습니다write:data.

  • sso-oauth:IntrospectTokenWithIAM [권한만 해당]: 연결된 범위 및 권한을 포함하여 활성 OAuth 2.0 액세스 토큰 및 새로 고침 토큰에 대한 정보를 검증하고 검색할 수 있는 권한을 부여합니다. 이 권한은 AWS 관리형 애플리케이션에서만 사용되며 IAM Identity Center OIDC API 참조에 문서화되어 있지 않습니다.

  • RevokeTokenWithIAM [권한만 해당]: OAuth 2.0 액세스 토큰 및 새로 고침 토큰을 취소하여 정상적인 만료 전에 무효화할 수 있는 권한을 부여합니다. 이 권한은 AWS 관리형 애플리케이션에서만 사용되며 IAM Identity Center OIDC API 참조에 문서화되어 있지 않습니다.

리소스

(필수)이 정책에서 Resource 요소의 값은 이며"*", 이는 "이 애플리케이션"을 의미합니다.

AWS 정책 구문에 대한 자세한 내용은 AWS IAM 사용 설명서의 IAM 정책 참조를 참조하세요.

예제 정책: IAM 역할이 액세스 및 새로 고침 토큰을 생성하도록 허용

다음 권한 정책은 워크로드가 수임하는 IAM 역할ExampleAppClientRole인에 액세스 및 새로 고침 토큰을 생성하고 반환할 수 있는 권한을 부여합니다.

{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
            "Sid": "AllowRoleToCreateTokens",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
            },
            "Action": "sso-oauth:CreateTokenWithIAM",
            "Resource": "*"
        }
    ]
}