本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# IAM Identity Center 身份和访问管理
访问 IAM Identity Center 需要 AWS 可用于验证您的请求的证书。这些证书必须具有访问 AWS 资源(例如 AWS 托管应用程序)的权限。
AWS 访问门户的身份验证由您连接到 IAM Identity Center 的目录控制。但是, AWS 访问门户内部可供用户访问的权限由两个因素决定: AWS 账户
1. 谁被分配了 IAM 身份中心控制台 AWS 账户 中用户的访问权限。有关更多信息,请参阅 [单点登录访问 AWS 账户](useraccess.md)。
1. 在 IAM Identity Center 控制台中向用户授予了什么权限级别,以允许其适当访问这些 AWS 账户。有关更多信息,请参阅 [创建、管理和删除权限集](permissionsets.md)。
以下各节说明您作为管理员如何控制对 IAM Identity Center 控制台的访问权限或如何从 IAM Identity Center 控制台为 day-to-day任务委派管理访问权限。
+ [身份验证](#authentication)
+ [访问控制](#accesscontrol)
## 身份验证
了解如何 AWS 使用 [IAM 身份](https://docs.aws.amazon.com//IAM/latest/UserGuide/id.html)进行访问。
## 访问控制
您可以使用有效的凭证来对自己的请求进行身份验证,但您还必须拥有权限才能创建或访问 IAM Identity Center 资源。例如,您必须拥有权限才能创建 IAM Identity Center 连接目录。
**注意**
如果您的 IAM Identity Center 实例配置了客户自主管理型 KMS 密钥,则 IAM Identity Center 管理员和其他需要访问该 KMS 密钥的人员将需要额外权限。请参考[在中实现客户托管的 KMS 密钥 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。
下面几节介绍如何管理 IAM Identity Center 的权限。我们建议您先阅读概述。
+ [管理 IAM Identity Center 资源的访问权限概述](iam-auth-access-overview.md)
+ [IAM Identity Center 基于身份的策略示例](iam-auth-access-using-id-policies.md)
+ [IAM Identity Center 的基于资源的策略示例](iam-auth-access-using-resource-based-policies.md)
+ [使用 IAM Identity Center 的服务相关角色](using-service-linked-roles.md)
# 管理 IAM Identity Center 资源的访问权限概述
每个 AWS 资源都归人所有 AWS 账户,创建或访问资源的权限受权限策略的约束。为了提供访问权限,帐户管理员可以向 IAM 身份(即用户、组和角色)添加权限。某些服务(例如 AWS Lambda)还支持向资源添加权限。
**注意**
*帐户管理员*(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅 *IAM 用户指南*中的 [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
**Topics**
+ [IAM Identity Center 资源和操作](#creatingiampolicies)
+ [了解资源所有权](#accesscontrolresourceowner)
+ [管理对 资源的访问](#accesscontrolmanagingaccess)
+ [指定策略元素:操作、效果、资源和主体](#policyactions)
+ [在策略中指定条件](#specifyiampolicyconditions)
## IAM Identity Center 资源和操作
在 IAM Identity Center 中,主要资源是应用程序实例、配置文件和权限集。
## 了解资源所有权
*资源所有者* AWS 账户 是创建资源的人。也就是说,资源所有者是 AWS 账户 对创建资源的请求进行身份验证的*委托人实体*(账户、用户或 IAM 角色)。以下示例说明了它的工作原理:
+ 如果 AWS 账户根用户 创建了 IAM Identity Center 资源,例如应用程序实例或权限集, AWS 账户 则您就是该资源的所有者。
+ 如果您在 AWS 账户中创建用户并向该用户授予创建 IAM Identity Center 资源的权限,则该用户随后可以创建 IAM Identity Center 资源。但是,该用户所属的您的 AWS 账户拥有这些资源。
+ 如果您在 AWS 账户中创建具有创建 IAM 身份中心资源的权限的 IAM 角色,则任何能够代入该角色的人都可以创建 IAM 身份中心资源。该角色所属的 AWS 账户拥有 IAM Identity Center 资源。
## 管理对 资源的访问
*权限策略*规定谁可以访问哪些内容。下一节介绍创建权限策略时的可用选项。
**注意**
本节讨论如何在 IAM Identity Center 范围内使用 IAM。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档,请参阅 *IAM 用户指南*中的[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。有关 IAM 策略语法和说明的信息,请参阅 *IAM 用户指南*中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
附加到 IAM 身份的策略称作*基于身份的*策略 (IAM policy)。附加到资源的策略称作*基于资源的* 策略。IAM Identity Center 只支持基于身份的策略 (IAM 策略)。
**Topics**
+ [基于身份的策略(IAM 策略)](#accesscontrolidentitybased)
+ [基于资源的策略](#accesscontrolresourcebased)
### 基于身份的策略(IAM 策略)
您可以向 IAM 身份添加权限。例如,您可以执行以下操作:
+ 将@@ **权限策略附加到您的用户或群组 AWS 账户** — 账户管理员可以使用与特定用户关联的权限策略向该用户授予添加 IAM Identity Center 资源(例如新应用程序)的权限。
+ **向角色附加权限策略(授予跨帐户权限)** – 您可以向 IAM 角色附加基于身份的权限策略,以授予跨帐户的权限。
有关使用 IAM 委派权限的更多信息,请参阅 *IAM 用户指南*中的[访问权限管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
以下权限策略对用户授予权限以运行以 `List` 开头的所有操作。这些操作显示了有关 IAM Identity Center 资源(如应用程序实例或权限集合)的信息。请注意,`Resource` 元素中的通配符 (\$1) 表示可对该帐户拥有的所有 IAM Identity Center 资源执行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"sso:List*",
"Resource":"*"
}
]
}
```
------
有关对 IAM Identity Center 使用基于身份的策略的更多信息,请参阅 [IAM Identity Center 基于身份的策略示例](iam-auth-access-using-id-policies.md)。有关用户、组、角色和权限的更多信息,请参阅 *IAM 用户指南*中的[身份(用户、组和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
### 基于资源的策略
其他服务(如 Amazon S3)还支持基于资源的权限策略。例如,您可以将策略附加到 S3 存储桶以管理对该存储桶的访问权限。IAM Identity Center 不支持基于资源的策略。
## 指定策略元素:操作、效果、资源和主体
对于每种 IAM Identity Center 资源(请参阅 [IAM Identity Center 资源和操作](#creatingiampolicies)),该服务都定义了一组 API 操作。为授予这些 API 操作的权限,IAM Identity Center 定义了一组您可以在策略中指定的操作。请注意,执行某项 API 操作可能需要执行多个操作的权限。
以下是基本的策略元素:
+ **资源**:在策略中,您可以使用 Amazon 资源名称(ARN)标识策略应用到的资源。
+ **操作**:您可以使用操作关键字标识要允许或拒绝的资源操作。例如,`sso:DescribePermissionsPolicies` 权限允许执行 IAM Identity Center `DescribePermissionsPolicies` 操作的用户权限。
+ **效果**:您可以指定当用户请求特定操作(可以是允许或拒绝)时的效果。如果没有显式授予 (允许) 对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问,这样可确保用户无法访问该资源,即使有其他策略授予了访问权限的情况下也是如此。
+ **主体**:在基于身份的策略(IAM 策略)中,附加了策略的用户是隐式主体。对于基于资源的策略,您可以指定要接收权限的用户、帐户、服务或其他实体(仅适用于基于资源的策略)。IAM Identity Center 不支持基于资源的策略。
有关 IAM 策略语法和描述的更多信息,请参阅 *IAM 用户指南*中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
## 在策略中指定条件
当您授予权限时,可使用访问策略语言来指定规定策略生效的条件。例如,您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息,请参阅《IAM 用户指南》**中的[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
要表示条件,您可以使用预定义的条件键。没有特定于 IAM Identity Center 的条件键。但是,您可以根据需要使用一些 AWS 条件键。有关 AWS 密钥的完整列表,请参阅 *IAM 用户指南*中的[可用全局条件密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys)。
# IAM Identity Center 基于身份的策略示例
本主题提供了 IAM 策略示例,您可以创建这些策略来授予用户和角色管理 IAM Identity Center 的权限。
**重要**
我们建议您首先阅读以下介绍性主题,这些主题讲解了管理 IAM Identity Center 资源访问的基本概念和选项。有关更多信息,请参阅 [管理 IAM Identity Center 资源的访问权限概述](iam-auth-access-overview.md)。
本主题的各个部分涵盖以下内容:
+ [自定义策略示例](#policyexample)
+ [使用 IAM Identity Center 控制台所需的权限](#requiredpermissionsconsole)
## 自定义策略示例
本部分提供了需要自定义 IAM policy 的常见用例示例。这些示例策略是基于身份的策略,不指定主体元素。这是因为使用基于身份的策略时,您无需指定获得权限的主体。相反,您将策略附加到主体。向 IAM 角色附加基于身份的权限策略后,该角色的信任策略中标识的主体将获取权限。您可以在 IAM 中创建基于身份的策略并将其附加到用户、 and/or 群组和角色。当您在 IAM Identity Center 中创建权限集时,您还可以将这些策略应用于 IAM Identity Center 用户。
**注意**
在为您的环境创建策略时使用这些示例,并确保在生产环境中部署这些策略之前测试正面(“授予访问”)和负面(“拒绝访问”)测试用例。有关测试 IAM 策略的更多信息,请参阅 *IAM 用户指南*中的[使用 IAM policy simulator 测试 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [示例 1:允许用户查看 IAM Identity Center](#policyexamplesetupenable)
+ [示例 2:允许用户 AWS 账户 在 IAM 身份中心管理权限](#policyexamplemanageconnecteddirectory)
+ [示例 3:允许用户管理 IAM Identity Center 中的应用程序](#policyexamplemanageapplication)
+ [示例 4:允许用户管理 Identity Center 目录中的用户和组](#policyexamplemanageusersgroups)
### 示例 1:允许用户查看 IAM Identity Center
以下权限策略向用户授予只读权限,以便他们可以查看 IAM Identity Center 中配置的所有设置和目录信息。
**注意**
本策略仅供参考。在生产环境中,我们建议您使用 IAM Identity Center 的`ViewOnlyAccess` AWS 托管策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"iam:ListPolicies",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListRoots",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"sso:ListManagedPoliciesInPermissionSet",
"sso:ListPermissionSetsProvisionedToAccount",
"sso:ListAccountAssignments",
"sso:ListAccountsForProvisionedPermissionSet",
"sso:ListPermissionSets",
"sso:DescribePermissionSet",
"sso:GetInlinePolicyForPermissionSet",
"sso-directory:DescribeDirectory",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups"
],
"Resource": "*"
}
]
}
```
------
### 示例 2:允许用户 AWS 账户 在 IAM 身份中心管理权限
以下权限策略授予允许用户为您的 AWS 账户创建、管理和部署权限集的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:AttachManagedPolicyToPermissionSet",
"sso:CreateAccountAssignment",
"sso:CreatePermissionSet",
"sso:DeleteAccountAssignment",
"sso:DeleteInlinePolicyFromPermissionSet",
"sso:DeletePermissionSet",
"sso:DetachManagedPolicyFromPermissionSet",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:UpdatePermissionSet"
],
"Resource": "*"
},
{
"Sid": "IAMListPermissions",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListPolicies"
],
"Resource": "*"
},
{
"Sid": "AccessToSSOProvisionedRoles",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRole",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:PutRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetSAMLProvider"
],
"Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE"
}
]
}
```
------
**注意**
和” `"Sid": "AccessToSSOProvisionedRoles"` 部分下列出的`"Sid": "IAMListPermissions"`其他权限仅用于使用户能够在 AWS Organizations 管理账户中创建任务。在某些情况下,您可能还需要添加 `iam:UpdateSAMLProvider` 到这些部分。
### 示例 3:允许用户管理 IAM Identity Center 中的应用程序
以下权限策略授予权限以允许用户查看和配置 IAM Identity Center 中的应用程序,包括 IAM Identity Center 目录中预集成的 SaaS 应用程序。
**注意**
管理应用程序的用户和组分配需要以下策略示例中使用的 `sso:AssociateProfile` 操作。它还允许用户使用现有权限集向 AWS 账户 其分配用户和组。如果用户必须在 IAM Identity Center 中管理 AWS 账户 访问权限,并且需要管理权限集所需的权限,请参阅[示例 2:允许用户 AWS 账户 在 IAM 身份中心管理权限](#policyexamplemanageconnecteddirectory)。
截至 2020 年 10 月,其中许多操作只能通过 AWS 控制台进行。此示例策略包括“读取”操作,例如列表、获取和搜索,这些操作与本例中控制台的无错误操作相关。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:AssociateProfile",
"sso:CreateApplicationInstance",
"sso:ImportApplicationInstanceServiceProviderMetadata",
"sso:DeleteApplicationInstance",
"sso:DeleteProfile",
"sso:DisassociateProfile",
"sso:GetApplicationTemplate",
"sso:UpdateApplicationInstanceServiceProviderConfiguration",
"sso:UpdateApplicationInstanceDisplayData",
"sso:DeleteManagedApplicationInstance",
"sso:UpdateApplicationInstanceStatus",
"sso:GetManagedApplicationInstance",
"sso:UpdateManagedApplicationInstanceStatus",
"sso:CreateManagedApplicationInstance",
"sso:UpdateApplicationInstanceSecurityConfiguration",
"sso:UpdateApplicationInstanceResponseConfiguration",
"sso:GetApplicationInstance",
"sso:CreateApplicationInstanceCertificate",
"sso:UpdateApplicationInstanceResponseSchemaConfiguration",
"sso:UpdateApplicationInstanceActiveCertificate",
"sso:DeleteApplicationInstanceCertificate",
"sso:ListApplicationInstanceCertificates",
"sso:ListApplicationTemplates",
"sso:ListApplications",
"sso:ListApplicationInstances",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:ListProfileAssociations",
"sso:ListInstances",
"sso:GetProfile",
"sso:GetSSOStatus",
"sso:GetSsoConfiguration",
"sso-directory:DescribeDirectory",
"sso-directory:DescribeUsers",
"sso-directory:ListMembersInGroup",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers"
],
"Resource": "*"
}
]
}
```
------
### 示例 4:允许用户管理 Identity Center 目录中的用户和组
以下权限策略授予权限以允许用户在 IAM Identity Center 中创建、查看、修改和删除用户和组。
在某些情况下,对 IAM Identity Center 中的用户和组的直接修改受到限制。例如,当选择 Active Directory 或启用了自动预置的外部身份提供商作为身份源时。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:DisableUser",
"sso-directory:EnableUser",
"sso-directory:SearchGroups",
"sso-directory:DeleteGroup",
"sso-directory:AddMemberToGroup",
"sso-directory:DescribeDirectory",
"sso-directory:UpdateUser",
"sso-directory:ListMembersInGroup",
"sso-directory:CreateUser",
"sso-directory:DescribeGroups",
"sso-directory:SearchUsers",
"sso:ListDirectoryAssociations",
"sso-directory:RemoveMemberFromGroup",
"sso-directory:DeleteUser",
"sso-directory:DescribeUsers",
"sso-directory:UpdateGroup",
"sso-directory:CreateGroup"
],
"Resource": "*"
}
]
}
```
------
## 使用 IAM Identity Center 控制台所需的权限
为了使用户能够正确使用 IAM Identity Center 控制台,需要额外的权限。如果创建的 IAM 策略比所需的最低权限更严格,则控制台将无法按使用该策略的用户的预期运行。以下示例列出了确保 IAM Identity Center 控制台中无错误操作可能需要的权限集。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:DescribeAccountAssignmentCreationStatus",
"sso:DescribeAccountAssignmentDeletionStatus",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:DescribeRegisteredRegions",
"sso:GetApplicationInstance",
"sso:GetApplicationTemplate",
"sso:GetInlinePolicyForPermissionSet",
"sso:GetManagedApplicationInstance",
"sso:GetMfaDeviceManagementForDirectory",
"sso:GetPermissionSet",
"sso:GetProfile",
"sso:GetSharedSsoConfiguration",
"sso:GetSsoConfiguration",
"sso:GetSSOStatus",
"sso:GetTrust",
"sso:ListAccountAssignmentCreationStatus",
"sso:ListAccountAssignmentDeletionStatus",
"sso:ListAccountAssignments",
"sso:ListAccountsForProvisionedPermissionSet",
"sso:ListApplicationInstanceCertificates",
"sso:ListApplicationInstances",
"sso:ListApplications",
"sso:ListApplicationTemplates",
"sso:ListDirectoryAssociations",
"sso:ListInstances",
"sso:ListManagedPoliciesInPermissionSet",
"sso:ListPermissionSetProvisioningStatus",
"sso:ListPermissionSets",
"sso:ListPermissionSetsProvisionedToAccount",
"sso:ListProfileAssociations",
"sso:ListProfiles",
"sso:ListTagsForResource",
"sso-directory:DescribeDirectory",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:ListMembersInGroup",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers"
],
"Resource": "*"
}
]
}
```
------
# IAM Identity Center 的基于资源的策略示例
每个与 IAM Identity Center 配合使用并使用 [OAuth 2.0](customermanagedapps-saml2-oauth2.md#oidc-concept) 的应用程序都需要基于资源的策略。该应用程序可以由客户管理或 AWS 管理。所需的基于资源的策略称为*应用程序策略*(或[ActorPolicy](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_IamAuthenticationMethod.html#API_IamAuthenticationMethod_Contents)在 APIs),它定义了哪些 [IAM 委托人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying)有权调用 IAM 身份验证方法 API 操作,例如。[https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)**IAM 身份验证方法允许 IAM 委托人(例如 IAM 角色或 AWS 服务)通过在 /token? 上出示 IAM 证书来请求或管理访问令牌,从而向 IAM 身份中心 OIDC 服务进行身份验证 aws\$1iam=t 端点**。
应用程序策略管控令牌颁发操作(`CreateTokenWithIAM`)。该政策还管理仅限许可的操作,这些操作仅供 AWS 托管应用程序用于验证令牌 (`IntrospectTokenWithIAM`) 和撤消令牌 ()。`RevokeTokenWithIAM`对于客户自主管理型应用程序,您可以通过指定哪些 IAM 主体有权调用 `CreateTokenWithIAM` 来配置此策略。当授权主体调用此 API 操作时,将获取该应用程序的访问令牌和刷新令牌。
如果您使用 IAM Identity Center 控制台为[可信身份传播](trustedidentitypropagation-overview.md)设置客户托管的应用程序,请参阅[设置客户托管 OAuth 2.0 应用程序](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md)中的步骤 4,了解有关如何配置应用程序策略的信息。有关策略示例,请参阅本主题后面的 [示例策略:允许 IAM 角色创建访问令牌和刷新令牌](#oauth-application-policy-example)。
## 政策要求
策略必须满足以下要求:
+ 策略必须包含设置为“2012-10-17”的 `Version ` 元素。
+ 必须包含至少一个 `Statement` 元素。
+ 每个策略 `Statement` 必须包含以下元素:`Effect`、`Principal`、`Action` 和 `Resource`。
## 策略元素
该策略必须包含以下元素:
**版本**
指定策略文档版本。将版本设置为 `2012-10-17`(最新版本)。
**语句**
包含策略 `Statements`。策略必须包含至少一个 `Statement`。
每个策略 `Statement` 包含以下元素。
**效果**
(必需)确定是允许还是拒绝该策略语句中的权限。有效值为 `Allow` 或 `Deny`。
**Principal**
(必需)[主题](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying)是获取策略语句中指定的权限的身份。您可以指定 IAM 角色或 AWS 服务主体。
**Action**
(必需)允许或拒绝的 IAM Identity Center OIDC 服务 API 操作。有效操作包括:
+ `sso-oauth:CreateTokenWithIAM`:此操作与 [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)API 操作相对应,授予使用任何 IAM 实体(例如 AWS 服务角色或用户)进行身份验证的授权客户端应用程序创建和返回访问和刷新令牌的权限。这些令牌可能包含已定义的作用域,用于指定 `read:profile` 或 `write:data` 等权限。
+ `sso-oauth:IntrospectTokenWithIAM`[仅限权限]:授予验证和检索有关活动 OAuth 2.0 访问令牌和刷新令牌的信息(包括其关联的范围和权限)的权限。此权限仅供 AWS 托管应用程序使用,未记录在 *IAM 身份中心 OIDC API* 参考中。
+ `RevokeTokenWithIAM `[仅限权限]:授予撤销 OAuth 2.0 访问令牌和刷新令牌的权限,使其在正常到期之前失效。此权限仅供 AWS 托管应用程序使用,未记录在 *IAM 身份中心 OIDC API* 参考中。
**资源**
(必需)在此策略中 `Resource` 元素的值为 `"*"`,表示“此应用程序”。
有关 AWS 策略语法的更多信息,请参阅 [AWS IAM *用户指南中的 IAM* 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
## 示例策略:允许 IAM 角色创建访问令牌和刷新令牌
以下权限策略授予工作负载所扮演的 IAM 角色 `ExampleAppClientRole` 创建并返回访问令牌及刷新令牌的权限。
```
1. {
2. "Version": "2012-10-17",
3. "Statement": [
4. {
5. "Sid": "AllowRoleToCreateTokens",
6. "Effect": "Allow",
7. "Principal": {
8. "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
9. },
10. "Action": "sso-oauth:CreateTokenWithIAM",
11. "Resource": "*"
12. }
13. ]
14. }
```
# AWS IAM 身份中心的托管策略
要[创建 IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)以仅向您的团队提供他们所需的权限,需要时间和专业知识。要快速入门,您可以使用 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管式策略的更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
新命名空间 `identitystore-auth` 下提供了允许您列出和删除用户会话的新操作。此命名空间中的任何其他操作权限都将在此页面上更新。创建自定义 IAM 策略时,请避免在 `identitystore-auth` 后使用 `*`,因为这适用于当前或将来命名空间中存在的所有操作。
## AWS 托管策略: AWSSSOMasterAccountAdministrator
`AWSSSOMasterAccountAdministrator` 策略向主体提供所需的管理操作。该政策适用于担任 AWS IAM Identity Center 管理员工作角色的委托人。随着时间的推移,所提供的操作列表将会更新,以匹配 IAM Identity Center 的现有功能以及管理员所需的操作。
您可以将 `AWSSSOMasterAccountAdministrator` 策略附加到 IAM 身份。将`AWSSSOMasterAccountAdministrator`策略附加到身份时,即授予管理 AWS IAM Identity Center 权限。拥有此政策的委托人可以在 AWS Organizations 管理账户和所有成员账户中访问 IAM Identity Center。该主体可以完全管理所有 IAM Identity Center 操作,包括创建 IAM Identity Center 实例、用户、权限集和分配的能力。委托人还可以在整个 AWS 组织成员账户中实例化这些分配,并在 AWS Directory Service 托管目录和 IAM Identity Center 之间建立连接。随着新管理功能的发布,帐户管理员将自动获得这些权限。
该策略还包括使用客户托管密钥进行加密的 IAM Identity Center 实例所需的 AWS Key Management Service 权限。
**权限分组**
此策略根据提供的权限集分为多个语句。
+ `AWSSSOMasterAccountAdministrator`——允许 IAM Identity Center [将命名为 `AWSServiceRoleforSSO` 的服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)传递给 IAM Identity Center,以便稍后可以代入该角色并代表他们执行操作。当个人或应用程序尝试启用 IAM Identity Center 时,这是必要的。有关更多信息,请参阅 [配置访问权限 AWS 账户](manage-your-accounts.md)。
+ `AWSSSOMemberAccountAdministrator`— 允许 IAM Identity Center 在多账户 AWS 环境中执行账户管理员操作。有关更多信息,请参阅 [AWS 托管策略: AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator)。
+ `AWSSSOManageDelegatedAdministrator`——允许 IAM Identity Center 为您的组织注册和取消注册委派管理员。
+ `AllowKMSKeyUseViaService`和 `AllowKMSKeyDiscovery` — 允许对 IAM 身份中心实例使用的客户托管密钥进行 AWS Key Management Service 操作。
要查看此策略的权限,请参阅*AWS 托管策略参考[AWSSSOMasterAccountAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSOMasterAccountAdministrator.html)*中的。
### 有关此策略的其他信息
首次启用 IAM Identity Center 时,IAM Identity Center [服务会在 AWS Organizations 管理账户(以前称为主账户)中创建一个服务关联角色](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-service-linked-roles.html),这样 IAM Identity Center 就可以管理您账户中的资源。所需的操作包括 `iam:CreateServiceLinkedRole` 和 `iam:PassRole`。
## AWS 托管策略: AWSSSOMemberAccountAdministrator
`AWSSSOMemberAccountAdministrator` 策略向主体提供所需的管理操作。该策略适用于执行 IAM Identity Center 管理员工作角色的主体。随着时间的推移,所提供的操作列表将会更新,以匹配 IAM Identity Center 的现有功能以及管理员所需的操作。
您可以将 `AWSSSOMemberAccountAdministrator` 策略附加到 IAM 身份。将`AWSSSOMemberAccountAdministrator`策略附加到身份时,即授予管理 AWS IAM Identity Center 权限。拥有此政策的委托人可以在 AWS Organizations 管理账户和所有成员账户中访问 IAM Identity Center。该主体可以完全管理所有 IAM Identity Center 操作,包括创建用户、权限集和分配的能力。委托人还可以在整个 AWS 组织成员账户中实例化这些分配,并在 AWS Directory Service 托管目录和 IAM Identity Center 之间建立连接。随着新管理功能的发布,帐户管理员自动获得这些权限。
该策略还包括使用客户托管密钥进行加密的 IAM Identity Center 实例所需的 AWS Key Management Service 权限。
要查看此策略的权限,请参阅*AWS 托管策略参考[AWSSSOMemberAccountAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSOMemberAccountAdministrator.html)*中的。
### 有关此策略的其他信息
IAM Identity Center 管理员管理其 Identity Center 目录存储(sso 目录)中的用户、组和密码。帐户管理员角色包括以下操作的权限:
+ `"sso:*"`
+ `"sso-directory:*"`
IAM Identity Center 管理员需要对以下 Directory Service 操作的有限权限才能执行日常任务。
+ `"ds:DescribeTrusts"`
+ `"ds:UnauthorizeApplication"`
+ `"ds:DescribeDirectories"`
+ `"ds:AuthorizeApplication"`
+ `“ds:CreateAlias”`
这些权限允许 IAM Identity Center 管理员识别现有目录并管理应用程序,以便可以将它们配置为与 IAM Identity Center 一起使用。有关每个操作的更多信息,请参阅 [Directory Service API 权限:操作、资源和条件参考](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/UsingWithDS_IAM_ResourcePermissions.html)。
IAM Identity Center 使用 IAM 策略向 IAM Identity Center 用户授予权限。IAM Identity Center 管理员创建权限集并向其附加策略。IAM Identity Center 管理员必须有权列出现有策略,以便他们可以选择将哪些策略与他们正在创建或更新的权限集一起使用。要设置安全和功能权限,IAM Identity Center 管理员必须有权运行 IAM Access Analyzer 策略验证。
+ `"iam:ListPolicies"`
+ `"access-analyzer:ValidatePolicy"`
IAM Identity Center 管理员需要有限访问以下 AWS Organizations 操作才能执行日常任务:
+ `"organizations:EnableAWSServiceAccess"`
+ `"organizations:ListRoots"`
+ `"organizations:ListAccounts"`
+ `"organizations:ListOrganizationalUnitsForParent"`
+ `"organizations:ListAccountsForParent"`
+ `"organizations:DescribeOrganization"`
+ `"organizations:ListChildren"`
+ `"organizations:DescribeAccount"`
+ `"organizations:ListParents"`
+ `"organizations:ListDelegatedAdministrators"`
+ `"organizations:RegisterDelegatedAdministrator"`
+ `"organizations:DeregisterDelegatedAdministrator"`
这些权限使 IAM Identity Center 管理员能够使用组织资源(帐户)来执行基本 IAM Identity Center 管理任务,如下所示:
+ 识别属于组织的管理帐户
+ 识别属于组织的成员帐户
+ 为账户启用 AWS 服务访问权限
+ 设置和管理委派管理员
有关通过 IAM Identity Center 使用委派管理员的更多信息,请参阅 [委派管理](delegated-admin.md)。有关如何将这些权限用于的更多信息 AWS Organizations,请参阅[与其他 AWS 服务 AWS Organizations 一起使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。
## AWS 托管策略: AWSSSODirectory管理员
您可以将 `AWSSSODirectoryAdministrator` 策略附加到 IAM 身份。
此策略授予对 IAM Identity Center 用户和组的管理权限。附加此策略的主体可以对 IAM Identity Center 用户和组进行任何更新。该策略还包括使用客户托管密钥进行加密的 IAM Identity Center 实例所需的 AWS Key Management Service 权限。
该策略包含以下权限:
+ **IAM Identity Center 目录** - 对 IAM Identity Center 目录操作的完全管理访问权限。
+ **身份存储** - 对身份存储操作和身份验证的完全管理访问权限。
+ **IAM Identity Center** - 列出目录关联的权限。
+ **AWS Key Management Service** - 对 IAM Identity Center 实例使用的客户自主管理型密钥执行解密、描述密钥和生成数据密钥的权限。
要查看此策略的权限,请参阅《*AWS 托管策略参考》中的 AWSSSODirectory “管理*[员](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSODirectoryAdministrator.html)”。
## AWS 托管策略: AWSSSORead仅限
您可以将 `AWSSSOReadOnly` 策略附加到 IAM 身份。
此策略授予只读权限,允许用户查看 IAM Identity Center 中的信息。附加此策略的主体无法直接查看 IAM Identity Center 用户或组。附加此策略的主体无法在 IAM Identity Center 中进行任何更新。例如,具有这些权限的主体可以查看 IAM Identity Center 设置,但无法更改任何设置值。
该策略还包括使用客户托管密钥进行加密的 IAM Identity Center 实例所需的 AWS Key Management Service 权限。
要查看此策略的权限,请参阅[AWSSSORead仅](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSOReadOnly.html)在 “*AWS 托管策略参考*” 中。
## AWS 托管策略: AWSSSODirectoryReadOnly
您可以将 `AWSSSODirectoryReadOnly` 策略附加到 IAM 身份。
此策略授予只读权限,允许用户查看 IAM Identity Center 中的用户和组。附加此策略的主体无法查看 IAM Identity Center 分配、权限集、应用程序或设置。附加此策略的主体无法在 IAM Identity Center 中进行任何更新。例如,具有这些权限的主体可以查看 IAM Identity Center 用户,但他们无法更改任何用户属性或分配 MFA 设备。
该策略还包括使用客户托管密钥进行加密的 IAM Identity Center 实例所需的 AWS Key Management Service 权限。
要查看此策略的权限,请参阅*AWS 托管策略参考[AWSSSODirectoryReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSODirectoryReadOnly.html)*中的。
## AWS 托管策略: AWSIdentitySyncFullAccess
您可以将 `AWSIdentitySyncFullAccess` 策略附加到 IAM 身份。
附加此策略的主体拥有完全访问权限,可以创建和删除同步配置文件、将同步配置文件与同步目标关联或更新、创建、列出和删除同步筛选条件以及启动或停止同步。
**权限详细信息**
要查看此策略的权限,请参阅*AWS 托管策略参考[AWSIdentitySyncFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIdentitySyncFullAccess.html)*中的。
## AWS 托管策略: AWSIdentitySyncReadOnlyAccess
您可以将 `AWSIdentitySyncReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予只读权限,允许用户查看有关身份同步配置文件、筛选条件和目标设置的信息。附加此策略的主体无法对同步设置进行任何更新。例如,具有这些权限的主体可以查看身份同步设置,但无法更改任何配置文件或筛选条件值。
要查看此策略的权限,请参阅*AWS 托管策略参考[AWSIdentitySyncReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIdentitySyncReadOnlyAccess.html)*中的。
## AWS 托管策略: AWSSSOServiceRolePolicy
您不可以将 `AWSSSOServiceRolePolicy` 策略附加到 IAM 身份。
此策略附加到服务相关角色,允许 IAM Identity Center 委派和强制执行哪些用户具有单点登录访问权限的特定 AWS 账户 用户。 AWS Organizations启用 IAM 后,将在组织 AWS 账户 内的所有区域中创建一个与服务相关的角色。IAM Identity Center 还会在随后添加到您的组织的每个帐户中创建相同的服务相关角色。此角色允许 IAM Identity Center 代表您访问每个帐户的资源。在每个角色中创建的服务相关角色 AWS 账户 都被命名`AWSServiceRoleForSSO`。有关更多信息,请参阅 [使用 IAM Identity Center 的服务相关角色](using-service-linked-roles.md)。
## AWS 托管策略: AWSIAMIdentityCenterAllowListForIdentityContext
在 IAM Identity Center 身份上下文中担任角色时, AWS Security Token Service (AWS STS) 会自动将`AWSIAMIdentityCenterAllowListForIdentityContext`策略附加到该角色。
此策略提供了当您对在 IAM Identity Center 身份上下文中担任的角色使用可信身份传播时,所允许的操作列表。在此上下文中调用的所有其他操作都将被阻止。身份上下文作为 `ProvidedContext` 传递。
要查看此策略的权限,请参阅*AWS 托管策略参考[AWSIAMIdentityCenterAllowListForIdentityContext](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIAMIdentityCenterAllowListForIdentityContext.html)*中的。
## AWS 托管策略: AWSIdentityCenterExternalManagementPolicy
您可以将 `AWSIdentityCenterExternalManagementPolicy` 策略附加到 IAM 身份。
此策略提供从外部提供商管理 IAM 身份中心用户的权限。
要查看此策略的权限,请参阅*AWS 托管策略参考[AWSIdentityCenterExternalManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIdentityCenterExternalManagementPolicy.html)*中的。
## IAM 身份中心对 AWS 托管策略的更新
下表描述了自该服务开始跟踪这些更改以来对 IAM Identity Center AWS 托管策略的更新。有关此页面更改的自动提示,请订阅 IAM Identity Center 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSIdentityCenterExternalManagementPolicy](#security-iam-awsmanpol-AWSIdentityCenterExternalManagementPolicy) | 更新了托管策略以更改置备租户的 ARN。 | 2025 年 12 月 5 日 |
| [AWSIdentityCenterExternalManagementPolicy](#security-iam-awsmanpol-AWSIdentityCenterExternalManagementPolicy) | 此策略提供从外部提供商管理 IAM 身份中心用户的权限。 | 2025 年 11 月 21 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator),[AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator),[AWSSSORead仅限](#security-iam-awsmanpol-AWSSSOReadOnly),[AWSSSODirectory管理员](#security-iam-awsmanpol-AWSSSODirectoryAdministrator),[AWSSSODirectoryReadOnly](#security-iam-awsmanpol-AWSSSODirectoryReadOnly) | 更新了托管策略,增加了使用客户托管密钥进行加密的 IAM Identity Center 实例所需的 AWS KMS 权限。 | 2025 年 9 月 17 日 |
| [ AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | 此策略现在包含调用 `identity-sync:DeleteSyncProfile` 的新权限。 | 2025 年 2 月 11 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 此策略现在包括`qapps:ListQAppSessionData`和`qapps:ExportQAppSessionData`操作,用于支持身份增强控制台会话的 AWS 托管应用程序的身份增强控制台会话。 | 2024 年 10 月 2 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | IAM Identity Center 添加了一项新操作来授予 DeleteSyncProfile 权限,允许您使用此策略删除同步配置文件。这是与 DeleteInstance API 关联的操作。 | 2024 年 9 月 26 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 此策略现在包括支持身份增强控制台会话的 AWS 托管应用程序的身份增强控制台会话的`s3:ListCallerAccessGrants`操作。 | 2024 年 9 月 4 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 此策略现在包括`aoss:APIAccessAll`、、、、`es:ESHttpHead``es:ESHttpPost``es:ESHttpGet``es:ESHttpPatch``es:ESHttpDelete`、和`es:ESHttpPut`操作,用于支持身份增强控制台会话的 AWS 托管应用程序的身份增强控制台会话。 | 2024 年 7 月 12 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 此策略现在包括`qapps:PredictQApp`、、、`qapps:ImportDocument`、、`qapps:AssociateLibraryItemReview`、`qapps:DisassociateLibraryItemReview``qapps:GetQAppSession``qapps:UpdateQAppSession``qapps:GetQAppSessionMetadata``qapps:UpdateQAppSessionMetadata`、和`qapps:TagResource`操作,用于支持身份增强控制台会话的 AWS 托管应用程序的身份增强控制台会话。 | 2024 年 6 月 27 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 为支持 Amazon EMR 中的可信身份传播,此策略现在包括 `elasticmapreduce:AddJobFlowSteps`、`elasticmapreduce:DescribeCluster`、`elasticmapreduce:CancelSteps`、`elasticmapreduce:DescribeStep` 和 `elasticmapreduce:ListSteps` 操作。 | 2024 年 5 月 17 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 此策略现在包括`qapps:CreateQApp`、、、、、、`qapps:PredictProblemStatementFromConversation`、`qapps:PredictQAppFromProblemStatement`、、`qapps:CopyQApp`、、`qapps:GetQApp`、`qapps:ListQApps`、、`qapps:UpdateQApp`、`qapps:DeleteQApp`、、`qapps:AssociateQAppWithUser`、、`qapps:DisassociateQAppFromUser`、`qapps:ImportDocumentToQApp`、、`qapps:ImportDocumentToQAppSession`、`qapps:CreateLibraryItem`、、`qapps:GetLibraryItem`、`qapps:UpdateLibraryItem`、、`qapps:CreateLibraryItemReview`、、`qapps:ListLibraryItems`、`qapps:CreateSubscriptionToken`、、`qapps:StartQAppSession`、、、、、、、、以及`qapps:StopQAppSession`支持这些会话的 AWS 托管应用程序的身份增强控制台会话。 | 2024 年 4 月 30 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | 此策略现在包括`signin:CreateTrustedIdentityPropagationApplicationForConsole`和`signin:ListTrustedIdentityPropagationApplicationsForConsole`操作,用于支持身份增强控制台会话的 AWS 托管应用程序的身份增强控制台会话。 | 2024 年 4 月 26 日 |
| [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | 此策略现在包括`signin:CreateTrustedIdentityPropagationApplicationForConsole`和`signin:ListTrustedIdentityPropagationApplicationsForConsole`操作,用于支持身份增强控制台会话的 AWS 托管应用程序的身份增强控制台会话。 | 2024 年 4 月 26 日 |
| [AWSSSORead只有](#security-iam-awsmanpol-AWSSSOReadOnly) | 此策略现在包括支持身份增强控制台会话的 AWS 托管应用程序的身份增强控制台会话的`signin:ListTrustedIdentityPropagationApplicationsForConsole`操作。 | 2024 年 4 月 26 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 此策略现在包括支持身份增强控制台会话的 AWS 托管应用程序的身份增强控制台会话的`qbusiness:PutFeedback`操作。 | 2024 年 4 月 26 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 此策略现在包括`q:StartConversation`、、、`q:SendMessage`、、`q:ListConversations``q:GetConversation``q:StartTroubleshootingAnalysis``q:GetTroubleshootingResults``q:StartTroubleshootingResolutionExplanation`、和` q:UpdateTroubleshootingCommandResult`操作,用于支持身份增强控制台会话的 AWS 托管应用程序的身份增强控制台会话。 | 2024 年 4 月 24 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 此策略现在包括支持身份增强控制台会话的 AWS 托管应用程序的身份增强控制台会话的`sts:SetContext`操作。 | 2024 年 4 月 19 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 此策略现在包括`qbusiness:Chat`、、`qbusiness:ChatSync``qbusiness:ListConversations`` qbusiness:ListMessages`、和`qbusiness:DeleteConversation`操作,用于支持身份增强控制台会话的 AWS 托管应用程序的身份增强控制台会话。 | 2024 年 4 月 11 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 此策略现在包括 `s3:GetAccessGrantsInstanceForPrefix` 和 `s3:GetDataAccess` 操作。 | 2023 年 11 月 26 日 |
| [AWSIAMIdentityCenterAllowListForIdentityContext](#security-iam-awsmanpol-AWSIAMIdentityCenterAllowListForIdentityContext) | 此策略提供了当您对在 IAM Identity Center 身份上下文中担任的角色使用可信身份传播时,所允许的操作列表。 | 2023 年 11 月 15 日 |
| [AWSSSODirectoryReadOnly](#security-iam-awsmanpol-AWSSSODirectoryReadOnly) | 此策略现在包括具有新权限的新命名空间 `identitystore-auth`,以允许用户列出和获取会话。 | 2023 年 2 月 21 日 |
| [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | 此策略现在允许对管理帐户执行 `[UpdateSAMLProvider](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html)` 操作。 | 2022 年 10 月 20 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | 此策略现在包括具有新权限的新命名空间 `identitystore-auth`,以允许管理员列出和删除用户的会话。 | 2022 年 10 月 20 日 |
| [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | 此策略现在包括具有新权限的新命名空间 `identitystore-auth`,以允许管理员列出和删除用户的会话。 | 2022 年 10 月 20 日 |
| [AWSSSODirectory管理员](#security-iam-awsmanpol-AWSSSODirectoryAdministrator) | 此策略现在包括具有新权限的新命名空间 `identitystore-auth`,以允许管理员列出和删除用户的会话。 | 2022 年 10 月 20 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | 此策略现在包括新的呼`[ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)`入权限 AWS Organizations。此策略现在还包括权限 `AWSSSOManageDelegatedAdministrator` 子集,其中包括调用 `[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)` 和 `[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)` 的权限。 | 2022 年 8 月 16 日 |
| [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | 此策略现在包括新的呼`[ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)`入权限 AWS Organizations。此策略现在还包括权限 `AWSSSOManageDelegatedAdministrator` 子集,其中包括调用 `[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)` 和 `[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)` 的权限。 | 2022 年 8 月 16 日 |
| [AWSSSORead只有](#security-iam-awsmanpol-AWSSSOReadOnly) | 此策略现在包括新的呼`[ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html)`入权限 AWS Organizations。 | 2022 年 8 月 11 日 |
| [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | 此策略现在包括调用 `[DeleteRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePermissionsBoundary.html)` 和 `[PutRolePermisionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)` 的新权限。 | 2022 年 7 月 14 日 |
| [AWSSSOServiceRolePolicy](#security-iam-awsmanpol-AWSSSOServiceRolePolicy) | 此策略现在包含允许调用 AWS Organizations中的 [ListAWSServiceAccessForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAWSServiceAccessForOrganization.html) and [ListDelegatedAdministrators](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListDelegatedAdministrators.html) 的新权限。 | 2022 年 5 月 11 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) [AWSSSORead只有](#security-iam-awsmanpol-AWSSSOReadOnly) | 添加 IAM Access Analyzer 权限,允许主体使用策略检查进行验证。 | 2022 年 4 月 28 日 |
| [AWSSSOMasterAccountAdministrator](#security-iam-awsmanpol-AWSSSOMasterAccountAdministrator) | 此策略现在允许所有 IAM Identity Center 身份存储服务操作。 有关 IAM Identity Center 身份存储服务中可用操作的信息,请参阅 [IAM Identity Center 身份存储 API 参考](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)。 | 2022 年 3 月 29 日 |
| [AWSSSOMemberAccountAdministrator](#security-iam-awsmanpol-AWSSSOMemberAccountAdministrator) | 此策略现在允许所有 IAM Identity Center 身份存储服务操作。 | 2022 年 3 月 29 日 |
| [AWSSSODirectory管理员](#security-iam-awsmanpol-AWSSSODirectoryAdministrator) | 此策略现在允许所有 IAM Identity Center 身份存储服务操作。 | 2022 年 3 月 29 日 |
| [AWSSSODirectoryReadOnly](#security-iam-awsmanpol-AWSSSODirectoryReadOnly) | 此策略现在授予对 IAM Identity Center 身份存储服务读取操作的访问权限。需要此访问权限才能从 IAM Identity Center 身份存储服务检索用户和组信息。 | 2022 年 3 月 29 日 |
| [AWSIdentitySyncFullAccess](#security-iam-awsmanpol-AWSIdentitySyncFullAccess) | 此策略允许完全访问身份同步权限。 | 2022 年 3 月 3 日 |
| [AWSIdentitySyncReadOnlyAccess](#security-iam-awsmanpol-AWSIdentitySyncReadOnlyAccess) | 此策略授予只读权限,允许主体查看身份同步设置。 | 2022 年 3 月 3 日 |
| [AWSSSORead只有](#security-iam-awsmanpol-AWSSSOReadOnly) | 此策略授予只读权限,允许主体查看 IAM Identity Center 配置设置。 | 2021 年 8 月 4 日 |
| IAM Identity Center 开始跟踪更改 | IAM 身份中心开始跟踪 AWS 托管策略的更改。 | 2021 年 8 月 4 日 |
# 使用 IAM Identity Center 的服务相关角色
AWS IAM Identity Center 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,直接链接到 IAM Identity Center。它由 IAM Identity Center 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。有关更多信息,请参阅 [了解 IAM Identity Center 中的服务相关角色](slrconcept.md)。
服务相关角色使设置 IAM Identity Center 变得更加容易,因为您无需手动添加必要的权限。IAM Identity Center 定义其服务相关角色的权限,除非另有定义,否则只有 IAM Identity Center 可以承担其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## IAM Identity Center 的服务相关角色权限
IAM Identity Center 使用名为 **AWSServiceRoleForSSO** 的服务相关角色授予 IAM 身份中心代表您管理 AWS 资源的权限,包括 IAM 角色、策略和 SAML IdP。
AWSServiceRoleForSSO 服务相关角色信任以下服务来代入该角色:
+ IAM Identity Center(服务前缀:`sso`)
AWSSSOServiceRolePolicy 服务相关角色权限策略允许 IAM Identity Center 对路径 “/aws-reserved/sso.amazonaws.com/” 上且名称前缀为 “SSO\$1” 的角色完成以下操作:AWSReserved
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:DeleteRolePermissionsBoundary`
+ `iam:DeleteRolePolicy`
+ `iam:DetachRolePolicy`
+ `iam:GetRole`
+ `iam:ListRolePolicies`
+ `iam:PutRolePolicy`
+ `iam:PutRolePermissionsBoundary`
+ `iam:ListAttachedRolePolicies`
AWSSSOServiceRolePolicy 服务相关角色权限策略允许 IAM Identity Center 在名称前缀为 “AWSSSO\$1” 的 SAML 提供商上完成以下操作:
+ `iam:CreateSAMLProvider`
+ `iam:GetSAMLProvider`
+ `iam:UpdateSAMLProvider`
+ `iam:DeleteSAMLProvider`
AWSSSOServiceRolePolicy 服务相关角色权限策略允许 IAM Identity Center 在所有组织上完成以下操作:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListDelegatedAdministrators`
AWSSSOServiceRolePolicy 服务相关角色权限策略允许 IAM Identity Center 在所有 IAM 角色 (\$1) 上完成以下操作:
+ `iam:listRoles`
AWSSSOServiceRolePolicy 服务相关角色权限策略允许 IAM Identity Center 在 “arn: aws:: iam:: \$1:” 上完成以下操作:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO
+ `iam:GetServiceLinkedRoleDeletionStatus`
+ `iam:DeleteServiceLinkedRole`
AWSSSOServiceRolePolicy 服务相关角色权限策略允许 IAM Identity Center 在 “arn: aws: identity-sync: \$1: profile/\$1” 上完成以下操作:
+ `identity-sync:DeleteSyncProfile`
有关 AWSSSOServiceRolePolicy 服务相关角色权限策略更新的更多信息,请参阅[IAM 身份中心对 AWS 托管策略的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"IAMRoleProvisioningActions",
"Effect":"Allow",
"Action":[
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:DeleteRolePermissionsBoundary",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription",
"iam:UpdateAssumeRolePolicy"
],
"Resource":[
"arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
],
"Condition":{
"StringNotEquals":{
"aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}"
}
}
},
{
"Sid":"IAMRoleReadActions",
"Effect":"Allow",
"Action":[
"iam:GetRole",
"iam:ListRoles"
],
"Resource":[
"*"
]
},
{
"Sid":"IAMRoleCleanupActions",
"Effect":"Allow",
"Action":[
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:ListRolePolicies",
"iam:ListAttachedRolePolicies"
],
"Resource":[
"arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
]
},
{
"Sid":"IAMSLRCleanupActions",
"Effect":"Allow",
"Action":[
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus",
"iam:DeleteRole",
"iam:GetRole"
],
"Resource":[
"arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO"
]
},
{
"Sid": "IAMSAMLProviderCreationAction",
"Effect": "Allow",
"Action": [
"iam:CreateSAMLProvider"
],
"Resource": [
"arn:aws:iam::*:saml-provider/AWSSSO_*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMSAMLProviderUpdateAction",
"Effect": "Allow",
"Action": [
"iam:UpdateSAMLProvider"
],
"Resource": [
"arn:aws:iam::*:saml-provider/AWSSSO_*"
]
},
{
"Sid":"IAMSAMLProviderCleanupActions",
"Effect":"Allow",
"Action":[
"iam:DeleteSAMLProvider",
"iam:GetSAMLProvider"
],
"Resource":[
"arn:aws:iam::*:saml-provider/AWSSSO_*"
]
},
{
"Effect":"Allow",
"Action":[
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowUnauthAppForDirectory",
"Effect":"Allow",
"Action":[
"ds:UnauthorizeApplication"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowDescribeForDirectory",
"Effect":"Allow",
"Action":[
"ds:DescribeDirectories",
"ds:DescribeTrusts"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowDescribeAndListOperationsOnIdentitySource",
"Effect":"Allow",
"Action":[
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroups",
"identitystore:ListUsers"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowDeleteSyncProfile",
"Effect":"Allow",
"Action":[
"identity-sync:DeleteSyncProfile"
],
"Resource":[
"arn:aws:identity-sync:*:*:profile/*"
]
}
]
}
```
------
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为 IAM Identity Center 创建服务相关角色
无需手动创建服务相关角色。启用后,IAM Identity Center 将在 Organizations 中组织内的所有账户中 AWS 创建一个服务相关角色。IAM Identity Center 还会在随后添加到您的组织的每个帐户中创建相同的服务相关角色。此角色允许 IAM Identity Center 代表您访问每个帐户的资源。
**注意**
如果您登录了 AWS Organizations 管理账户,则该账户将使用您当前登录的角色而不是与服务相关的角色。这可以防止权限升级。
当 IAM Identity Center 在 AWS Organizations 管理账户中执行任何 IAM 操作时,所有操作都将使用 IAM 委托人的证书进行。这样,登录 CloudTrail 即可查看谁在管理账户中进行了所有权限更改。
**重要**
如果您在 2017 年 12 月 7 日开始支持服务相关角色之前使用 IAM 身份中心服务,那么 IAM Identity Center 会在您的账户中创建 AWSServiceRoleFor了 SSO 角色。要了解更多信息,请参阅[我的 IAM 帐户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除了此服务相关角色然后需要再次创建它,可以使用相同的流程在您的帐户中重新创建此角色。
## 编辑 IAM Identity Center 的服务相关角色
IAM 身份中心不允许您编辑 AWSService RoleFor SSO 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 IAM Identity Center 的服务相关角色
您无需手动删除 AWSService RoleFor SSO 角色。从 AWS 组织中移除后,IAM I AWS 账户 dentity Center 会自动清理资源并从中删除服务相关角色。 AWS 账户
您还可以使用 IAM 控制台、IAM CLI 或 IAM API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
**注意**
如果在您尝试删除资源时 IAM Identity Center 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 AWSService RoleFor SSO 使用的 IAM 身份中心资源**
1. [移除用户和群组对的访问权限 AWS 账户](howtoremoveaccess.md) 适用于有权访问 AWS 账户的所有用户和组。
1. 与 AWS 账户关联的 [在 IAM Identity Center 中移除权限集](howtoremovepermissionset.md)。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、IAM CLI 或 IAM API 删除 AWSService RoleFor SSO 服务相关角色。有关更多信息,请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。