As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
As funções vinculadas ao serviço do IAM Identity Center permanecem.
AWS IAM Identity Center usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculada diretamente ao IAM Identity Center. Ele é predefinido pelo IAM Identity Center e inclui todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. Para obter mais informações, consulte Compreender os perfis vinculados ao serviço do IAM Identity Center.
Um perfil vinculado ao serviço facilita a configuração do IAM Identity Center porque você não precisa adicionar as permissões necessárias manualmente. O IAM Identity Center define as permissões de seu perfil vinculado a serviço e, exceto se definido de outra forma, somente o IAM Identity Center pode assumir sua função. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.
As funções vinculadas ao serviço do IAM Identity Center permanecem.
O IAM Identity Center usa a função vinculada ao serviço chamada AWSServiceRoleForSSO para conceder permissões ao IAM Identity Center para gerenciar AWS recursos, incluindo funções, políticas e SAML IdP em seu nome.
A função vinculada ao serviço AWSService RoleFor SSO confia nos seguintes serviços para assumir a função:
-
IAM Identity Center (prefixo de serviço:
sso)
A política de permissões AWSSSOService RolePolicy de função vinculada ao serviço permite que o IAM Identity Center conclua o seguinte em funções no caminho “/aws-reserved/sso.amazonaws.com/” e com o prefixo do nome “SSO_”: AWSReserved
-
iam:AttachRolePolicy -
iam:CreateRole -
iam:DeleteRole -
iam:DeleteRolePermissionsBoundary -
iam:DeleteRolePolicy -
iam:DetachRolePolicy -
iam:GetRole -
iam:ListRolePolicies -
iam:PutRolePolicy -
iam:PutRolePermissionsBoundary -
iam:ListAttachedRolePolicies
A política de permissões AWSSSOService RolePolicy de função vinculada ao serviço permite que o IAM Identity Center conclua o seguinte em provedores de SAML com o prefixo de nome “_”: AWSSSO
-
iam:CreateSAMLProvider -
iam:GetSAMLProvider -
iam:UpdateSAMLProvider -
iam:DeleteSAMLProvider
A política de permissões AWSSSOService RolePolicy de funções vinculadas ao serviço permite que o IAM Identity Center conclua o seguinte em todas as organizações:
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
A política de permissões AWSSSOService RolePolicy de função vinculada ao serviço permite que o IAM Identity Center conclua o seguinte em todas as funções do IAM (*):
-
iam:listRoles
A política de permissões AWSSSOService RolePolicy de função vinculada ao serviço permite que o IAM Identity Center conclua o seguinte em “arn:aws:iam: :*:”: role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO
-
iam:GetServiceLinkedRoleDeletionStatus -
iam:DeleteServiceLinkedRole
A política de permissões de função AWSSSOService RolePolicy vinculada ao serviço permite que o IAM Identity Center conclua o seguinte em “arn:aws:identity-sync: *:*:profile/*”:
-
identity-sync:DeleteSyncProfile
Para obter mais informações sobre atualizações na política de permissões AWSSSOService RolePolicy de funções vinculadas ao serviço, consulte. Atualizações do IAM Identity Center para políticas AWS gerenciadas
{ "Version":"2012-10-17", "Statement":[ { "Sid":"IAMRoleProvisioningActions", "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole", "iam:DeleteRolePermissionsBoundary", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription", "iam:UpdateAssumeRolePolicy" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ], "Condition":{ "StringNotEquals":{ "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}" } } }, { "Sid":"IAMRoleReadActions", "Effect":"Allow", "Action":[ "iam:GetRole", "iam:ListRoles" ], "Resource":[ "*" ] }, { "Sid":"IAMRoleCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource":[ "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*" ] }, { "Sid":"IAMSLRCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus", "iam:DeleteRole", "iam:GetRole" ], "Resource":[ "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO" ] }, { "Sid": "IAMSAMLProviderCreationAction", "Effect": "Allow", "Action": [ "iam:CreateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ], "Condition": { "StringNotEquals": { "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMSAMLProviderUpdateAction", "Effect": "Allow", "Action": [ "iam:UpdateSAMLProvider" ], "Resource": [ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Sid":"IAMSAMLProviderCleanupActions", "Effect":"Allow", "Action":[ "iam:DeleteSAMLProvider", "iam:GetSAMLProvider" ], "Resource":[ "arn:aws:iam::*:saml-provider/AWSSSO_*" ] }, { "Effect":"Allow", "Action":[ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource":[ "*" ] }, { "Sid":"AllowUnauthAppForDirectory", "Effect":"Allow", "Action":[ "ds:UnauthorizeApplication" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeForDirectory", "Effect":"Allow", "Action":[ "ds:DescribeDirectories", "ds:DescribeTrusts" ], "Resource":[ "*" ] }, { "Sid":"AllowDescribeAndListOperationsOnIdentitySource", "Effect":"Allow", "Action":[ "identitystore:DescribeUser", "identitystore:DescribeGroup", "identitystore:ListGroups", "identitystore:ListUsers" ], "Resource":[ "*" ] }, { "Sid":"AllowDeleteSyncProfile", "Effect":"Allow", "Action":[ "identity-sync:DeleteSyncProfile" ], "Resource":[ "arn:aws:identity-sync*:*:profile/*" ] } ] }
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Service-linked role permissions no IAM User Guide.
Criar um perfil vinculado ao serviço para o IAM Identity Center
Não é necessário criar manualmente um perfil vinculado ao serviço. Depois de ativado, o IAM Identity Center cria uma função vinculada ao serviço em todas as contas da organização em Organizations AWS . O IAM Identity Center também cria a mesma função vinculada ao serviço em todas as contas que são adicionadas posteriormente à sua organização. Essa função permite que o IAM Identify Center acesse os recursos de cada conta em seu nome.
Observações
-
Se você estiver conectado à conta AWS Organizations de gerenciamento, ela usará sua função atualmente conectada e não a função vinculada ao serviço. Isso evita a escalada de privilégios.
-
Quando o IAM Identity Center realiza qualquer operação do IAM na conta AWS Organizations de gerenciamento, todas as operações acontecem usando as credenciais do diretor do IAM. Isso permite que os logins CloudTrail forneçam visibilidade de quem fez todas as alterações de privilégios na conta de gerenciamento.
Importante
Se você estava usando o serviço IAM Identity Center antes de 7 de dezembro de 2017, quando ele começou a oferecer suporte a funções vinculadas ao serviço, o IAM Identity Center criou a função de AWSService RoleFor SSO em sua conta. Para saber mais, consulte A New Role Appeared in My IAM Account.
Se você excluir essa função vinculada a serviço e depois precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta.
Criar um perfil vinculado ao serviço para o IAM Identity Center
O IAM Identity Center não permite que você edite a função vinculada ao serviço AWSService RoleFor SSO. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editing a service-linked role no IAM User Guide.
Criar um perfil vinculado ao serviço para o IAM Identity Center
Você não precisa excluir manualmente a função de AWSService RoleFor SSO. Quando um Conta da AWS é removido de uma AWS organização, o IAM Identity Center limpa automaticamente os recursos e exclui a função vinculada ao serviço. Conta da AWS
Também é possível usar o console do IAM, a CLI do IAM; ou a API do IAM para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
nota
Se o serviço IAM Identity Center estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir os recursos do IAM Identity Center usados pelo AWSService RoleFor SSO
-
Remover acesso dos usuários e grupos a uma Conta da AWS para todos os usuários e grupos que têm acesso a Conta da AWS.
-
Remover conjuntos de permissões no IAM Identity Center que você associou a Conta da AWS.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console do IAM, a CLI do IAM ou a API do IAM para excluir a função vinculada ao serviço AWSService RoleFor SSO. Para obter mais informações, consulte Deleting a Service-Linked Role no IAM User Guide.
