Requisitos de política Elementos da política Exemplo de política: permitir que uma função do IAM crie tokens de acesso e atualize

Exemplo de política baseada em recursos para o IAM Identity Center IAM Identity Center

Todo aplicativo que funciona com o IAM Identity Center e usa OAuth 2.0 exige uma política baseada em recursos. O aplicativo pode ser gerenciado ou AWS gerenciado pelo cliente. A política baseada em recursos necessária, chamada de política de aplicativo (ou ActorPolicyna APIs), define quais diretores do IAM estão autorizados a chamar ações de API do método de autenticação do IAM, como. CreateTokenWithIAM O método de autenticação do IAM permite que um principal do IAM, como uma função ou um AWS serviço do IAM, se autentique no serviço OIDC do IAM Identity Center apresentando as credenciais do IAM para solicitar ou gerenciar tokens de acesso no /token? ponto final aws_iam=t.

A política do aplicativo rege as operações de emissão de tokens ()CreateTokenWithIAM. A política também rege ações somente de permissão que são usadas somente por aplicativos AWS gerenciados para validar tokens (IntrospectTokenWithIAM) e revogar tokens (). RevokeTokenWithIAM Para um aplicativo gerenciado pelo cliente, você configura essa política especificando quais diretores do IAM estão autorizados a chamar. CreateTokenWithIAM Quando um diretor autorizado chama essa ação de API, ele recebe tokens de acesso e atualização para o aplicativo.

Se você estiver usando o console do IAM Identity Center para configurar um aplicativo gerenciado pelo cliente para propagação confiável de identidade, consulte a Etapa 4 em Configurar aplicativos OAuth 2.0 gerenciados pelo cliente para obter informações sobre como configurar a política do aplicativo. Para obter um exemplo de política, consulte Exemplo de política: permitir que uma função do IAM crie tokens de acesso e atualize mais adiante neste tópico.

Requisitos de política

A política deve atender aos seguintes requisitos:

A política deve incluir um Version elemento definido como “2012-10-17".
A política deve incluir pelo menos um Statement elemento.
Cada política Statement deve incluir os seguintes elementos: Effect PrincipalAction,, Resource e.

Elementos da política

A política deve incluir os seguintes elementos:

Versão

Especifica a versão do documento de política. Define a versão como 2012-10-17 (a versão mais recente).

Declaração

Contém a políticaStatements. A política deve conter pelo menos umStatement.

Cada política Statement consiste nos seguintes elementos.

Efeito

(Obrigatório) Determina se as permissões devem ser permitidas ou negadas na instrução de política. Os valores válidos são Allow ou Deny.

Entidade principal

(Obrigatório) A entidade principal é a identidade que recebe a especificação de permissões na instrução de política. Você pode especificar funções do IAM ou diretores AWS de serviço.

Ação

(Obrigatório) As operações da API do serviço OIDC do IAM Identity Center para permitir ou negar. As ações válidas incluem:

sso-oauth:CreateTokenWithIAM: essa ação, que corresponde à operação da CreateTokenWithIAMAPI, concede permissão para criar e retornar tokens de acesso e atualização para aplicativos clientes autorizados que são autenticados usando qualquer entidade do IAM, como uma função de AWS serviço ou usuário. Esses tokens podem conter escopos definidos que especificam permissões, como read:profile ouwrite:data.
sso-oauth:IntrospectTokenWithIAM[somente permissão]: concede permissão para validar e recuperar informações sobre tokens de acesso OAuth 2.0 ativos e tokens de atualização, incluindo seus escopos e permissões associados. Essa permissão é usada somente por aplicativos AWS gerenciados e não está documentada na Referência da API OIDC do IAM Identity Center.
RevokeTokenWithIAM [somente permissão]: concede permissão para revogar tokens de acesso OAuth 2.0 e atualizar tokens, invalidando-os antes da expiração normal. Essa permissão é usada somente por aplicativos AWS gerenciados e não está documentada na Referência da API OIDC do IAM Identity Center.

Recurso

(Obrigatório) Nessa política, o valor do Resource elemento é"*", o que significa “este aplicativo”.

Para obter mais informações sobre a sintaxe da AWS política, consulte Referência de política AWS do IAM no Guia do usuário do IAM.

Exemplo de política: permitir que uma função do IAM crie tokens de acesso e atualize

A política de permissões a seguir concede permissões a ExampleAppClientRole uma função do IAM assumida por uma carga de trabalho para criar e retornar tokens de acesso e atualização.


{
    "Version": "2012-10-17", 		 	 	  
    "Statement": [
        {
            "Sid": "AllowRoleToCreateTokens",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
            },
            "Action": "sso-oauth:CreateTokenWithIAM",
            "Resource": "*"
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplos de políticas baseadas em identidade

AWS políticas gerenciadas