Requisitos de política Elementos da política Exemplo de política: permitir que um perfil do IAM crie tokens de acesso e atualização

Exemplo de política baseada em recursos para o IAM Identity Center

Todo aplicativo que funciona com o IAM Identity Center e usa OAuth 2.0 exige uma política baseada em recursos. O aplicativo pode ser gerenciado ou AWS gerenciado pelo cliente. A política baseada em recursos necessária, chamada de política de aplicativo (ou ActorPolicyna APIs), define quais diretores do IAM estão autorizados a chamar ações de API do método de autenticação do IAM, como. CreateTokenWithIAM O método de autenticação do IAM permite que um principal do IAM, como uma função ou um AWS serviço do IAM, se autentique no serviço OIDC do IAM Identity Center apresentando as credenciais do IAM para solicitar ou gerenciar tokens de acesso no /token? ponto final aws_iam=t.

A política de aplicação rege as operações de emissão de tokens (CreateTokenWithIAM). A política também rege ações somente de permissão que são usadas somente por aplicativos AWS gerenciados para validar tokens (IntrospectTokenWithIAM) e revogar tokens (). RevokeTokenWithIAM Para uma aplicação gerenciada pelo cliente, você configura essa política especificando quais entidades principais do IAM estão autorizadas a chamar CreateTokenWithIAM. Quando uma entidade principal autorizada chama essa ação de API, ela recebe tokens de acesso e atualização para a aplicação.

Se você estiver usando o console do IAM Identity Center para configurar um aplicativo gerenciado pelo cliente para propagação confiável de identidade, consulte a Etapa 4 em Configurar aplicativos OAuth 2.0 gerenciados pelo cliente para obter informações sobre como configurar a política do aplicativo. Para obter um exemplo de política, consulte Exemplo de política: permitir que um perfil do IAM crie tokens de acesso e atualização mais adiante neste tópico.

Requisitos de política

A política deve atender aos seguintes requisitos:

A política deve incluir um elemento Version definido como “2012-10-17".
A política deve incluir pelo menos um elemento Statement.
Cada política Statement deve incluir os seguintes elementos: Effect, Principal, Action e Resource.

Elementos da política

A política deve incluir os seguintes elementos:

Versão

Especifica a versão do documento de política. Define a versão como 2012-10-17 (a versão mais recente).

Declaração

Contém a política Statements. A política deve conter pelo menos um Statement.

Cada política Statement consiste nos seguintes elementos:

Efeito

(Obrigatório) Determina se as permissões devem ser permitidas ou negadas na instrução de política. Os valores válidos são Allow ou Deny.

Entidade principal

(Obrigatório) A entidade principal é a identidade que recebe a especificação de permissões na instrução de política. Você pode especificar perfis do IAM ou entidades principais do serviço AWS .

Ação

(Exigido) As operações de API do serviço IAM Identity Center OIDC para permitir ou negar. As ações válidas incluem:

sso-oauth:CreateTokenWithIAM: essa ação, que corresponde à operação da CreateTokenWithIAMAPI, concede permissão para criar e retornar tokens de acesso e atualização para aplicativos clientes autorizados que são autenticados usando qualquer entidade do IAM, como uma função de AWS serviço ou usuário. Esses tokens podem conter escopos definidos que especificam permissões como read:profile ou write:data.
sso-oauth:IntrospectTokenWithIAM[somente permissão]: concede permissão para validar e recuperar informações sobre tokens de acesso OAuth 2.0 ativos e tokens de atualização, incluindo seus escopos e permissões associados. Essa permissão é usada somente por aplicativos AWS gerenciados e não está documentada na Referência da API OIDC do IAM Identity Center.
RevokeTokenWithIAM [somente permissão]: concede permissão para revogar tokens de acesso OAuth 2.0 e atualizar tokens, invalidando-os antes da expiração normal. Essa permissão é usada somente por aplicativos AWS gerenciados e não está documentada na Referência da API OIDC do IAM Identity Center.

Recurso

(Exigido) Nessa política, o valor do elemento Resource é "*", que significa “esta aplicação”.

Para obter mais informações sobre a sintaxe da AWS política, consulte Referência de política AWS do IAM no Guia do usuário do IAM.

Exemplo de política: permitir que um perfil do IAM crie tokens de acesso e atualização

A política de permissões a seguir concede permissões ao ExampleAppClientRole, um perfil do IAM assumido por um workload para criar e retornar tokens de acesso e atualização.


{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
            "Sid": "AllowRoleToCreateTokens",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
            },
            "Action": "sso-oauth:CreateTokenWithIAM",
            "Resource": "*"
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplos de políticas baseadas em identidade

AWS políticas gerenciadas