本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS IAM Identity Center 的動作、資源和條件索引鍵
AWS IAM Identity Center (服務字首:sso) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS IAM Identity Center 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
動作資料表的存取層級欄說明動作的分類方式 (列出、讀取、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱政策摘要中的存取層級。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了 動作本身的許可之外,還可能需要這些許可。當動作指定相依動作時,這些相依性可能適用於針對該動作定義的其他資源,而不只是資料表中列出的第一個資源。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AssociateDirectory | 准許連接 IAM Identity Center AWS 要使用的目錄 | 寫入 |
ds:AuthorizeApplication identitystore:CreateIdentityStore kms:Decrypt |
||
| AssociateProfile | 准許建立目錄使用者或群組和描述檔之間的關聯 | 寫入 |
kms:Decrypt |
||
| AttachCustomerManagedPolicyReferenceToPermissionSet | 准許將客戶受管政策參考連接到許可集 | 許可管理 |
kms:Decrypt |
||
| AttachManagedPolicyToPermissionSet | 准許將 AWS 受管政策連接至許可集 | 許可管理 |
kms:Decrypt |
||
| CreateAccountAssignment | 准許 AWS 帳戶 使用指定的許可集,將存取權指派給指定 的委託人 | 寫入 |
kms:Decrypt |
||
| CreateApplication | 准許建立應用程式 | 寫入 |
kms:Decrypt |
||
| CreateApplicationAssignment | 准許建立應用程式指派 | 寫入 |
kms:Decrypt |
||
| CreateApplicationInstance | 准許將應用程式執行個體新增至 AWS IAM Identity Center | 寫入 |
kms:Decrypt |
||
| CreateApplicationInstanceCertificate | 准許新增應用程式執行個體的新憑證 | 寫入 |
kms:Decrypt |
||
| CreateInstance | 准許建立身分中心執行個體 | 寫入 |
iam:CreateServiceLinkedRole identitystore:CreateIdentityStore organizations:DescribeOrganization |
||
| CreateInstanceAccessControlAttributeConfiguration | 准許啟用 ABAC 的執行個體並指定屬性 | 寫入 |
iam:AttachRolePolicy iam:CreateRole iam:DeleteRole iam:DeleteRolePolicy iam:DetachRolePolicy iam:GetRole iam:ListAttachedRolePolicies iam:ListRolePolicies iam:PutRolePolicy iam:UpdateAssumeRolePolicy kms:Decrypt |
||
| CreateManagedApplicationInstance | 准許將受管應用程式執行個體新增至 AWS IAM Identity Center | 寫入 |
kms:Decrypt |
||
| CreatePermissionSet | 准許建立許可集 | 寫入 |
kms:Decrypt |
||
| CreateProfile | 准許建立應用程式執行個體的描述檔 | 寫入 |
kms:Decrypt |
||
| CreateTrust | 准許在目標帳戶中建立聯合信任 | 寫入 |
kms:Decrypt |
||
| CreateTrustedTokenIssuer | 准許建立執行個體的受信任字符發行者 | 寫入 |
kms:Decrypt |
||
| DeleteAccountAssignment | 准許 AWS 帳戶 使用指定的許可集,從指定的 刪除委託人的存取權 | 寫入 |
kms:Decrypt |
||
| DeleteApplication | 准許刪除應用程式 | 寫入 |
kms:Decrypt |
||
| DeleteApplicationAccessScope | 准許刪除應用程式的存取範圍 | 寫入 |
kms:Decrypt |
||
| DeleteApplicationAssignment | 准許刪除應用程式指派 | 寫入 |
kms:Decrypt |
||
| DeleteApplicationAuthenticationMethod | 准許刪除應用程式的身分驗證方法 | 寫入 |
kms:Decrypt |
||
| DeleteApplicationGrant | 准許從應用程式中刪除授予 | 寫入 |
kms:Decrypt |
||
| DeleteApplicationInstance | 准許刪除應用程式執行個體 | 寫入 |
kms:Decrypt |
||
| DeleteApplicationInstanceCertificate | 准許從應用程式執行個體中刪除非作用中或過期的憑證 | 寫入 |
kms:Decrypt |
||
| DeleteInlinePolicyFromPermissionSet | 准許從指定的許可集中刪除內嵌政策 | 寫入 |
kms:Decrypt |
||
| DeleteInstance | 准許刪除身分中心執行個體 | 寫入 |
identitystore:DeleteIdentityStore |
||
| DeleteInstanceAccessControlAttributeConfiguration | 准許停用 ABAC 並移除執行個體的屬性清單 | 寫入 |
kms:Decrypt |
||
| DeleteManagedApplicationInstance | 准許刪除受管應用程式執行個體 | 寫入 |
kms:Decrypt |
||
| DeletePermissionSet | 准許刪除許可集 | 寫入 |
kms:Decrypt |
||
| DeletePermissionsBoundaryFromPermissionSet | 准許從許可集移除許可界限 | 許可管理 |
kms:Decrypt |
||
| DeleteProfile | 准許刪除應用程式執行個體的描述檔 | 寫入 |
kms:Decrypt |
||
| DeleteTrustedTokenIssuer | 准許刪除執行個體的受信任字符發行者 | 寫入 |
kms:Decrypt |
||
| DescribeAccountAssignmentCreationStatus | 准許描述指派建立請求的狀態 | 讀取 |
kms:Decrypt |
||
| DescribeAccountAssignmentDeletionStatus | 准許描述指派刪除請求的狀態 | 讀取 |
kms:Decrypt |
||
| DescribeApplication | 准許取得應用程式的相關資訊 | 讀取 |
kms:Decrypt |
||
| DescribeApplicationAssignment | 准許擷取應用程式指派 | 讀取 |
kms:Decrypt |
||
| DescribeApplicationProvider | 准許描述應用程式提供者 | 讀取 | |||
| DescribeInstance | 准許取得身分中心執行個體的相關資訊 | 讀取 | |||
| DescribeInstanceAccessControlAttributeConfiguration | 准許取得 ABAC 執行個體使用的屬性清單 | 讀取 |
kms:Decrypt |
||
| DescribePermissionSet | 准許描述許可集 | 讀取 |
kms:Decrypt |
||
| DescribePermissionSetProvisioningStatus | 准許描述指定許可集佈建請求的狀態 | 讀取 |
kms:Decrypt |
||
| DescribeRegisteredRegions | 准許取得您的組織已啟用 IAM Identity Center AWS 的區域 | 讀取 | |||
| DescribeTrustedTokenIssuer | 准許描述執行個體的受信任字符發行者 | 讀取 |
kms:Decrypt |
||
| DetachCustomerManagedPolicyReferenceFromPermissionSet | 准許將客戶受管政策參考從許可集中分離 | 許可管理 |
kms:Decrypt |
||
| DetachManagedPolicyFromPermissionSet | 准許從指定的許可集分離連接的 AWS 受管政策 | 許可管理 |
kms:Decrypt |
||
| DisassociateDirectory | 准許取消關聯 IAM Identity Center AWS 要使用的目錄 | 寫入 |
ds:UnauthorizeApplication identitystore:DeleteIdentityStore kms:Decrypt |
||
| DisassociateProfile | 准許將目錄使用者或群組與描述檔的關聯取消 | 寫入 |
kms:Decrypt |
||
| GetApplicationAccessScope | 准許取得應用程式的存取範圍 | 讀取 |
kms:Decrypt |
||
| GetApplicationAssignmentConfiguration | 准許讀取應用程式的指派組態 | 讀取 |
kms:Decrypt |
||
| GetApplicationAuthenticationMethod | 准許取得應用程式的身分驗證方法 | 讀取 |
kms:Decrypt |
||
| GetApplicationGrant | 准許取得屬於應用程序授予的相關詳細資訊 | 讀取 |
kms:Decrypt |
||
| GetApplicationInstance | 准許擷取應用程式執行個體的詳細資訊 | 讀取 |
kms:Decrypt |
||
| GetApplicationSessionConfiguration | 准許取得應用程式的工作階段組態 | 讀取 |
kms:Decrypt |
||
| GetApplicationTemplate | 准許擷取應用程式範本詳細資訊 | 讀取 | |||
| GetInlinePolicyForPermissionSet | 准許取得指派給許可集的內嵌政策 | 讀取 |
kms:Decrypt |
||
| GetManagedApplicationInstance | 准許擷取應用程式執行個體的詳細資訊 | 讀取 |
kms:Decrypt |
||
| GetMfaDeviceManagementForDirectory | 准許擷取目錄的 MFA 裝置管理設定 | 讀取 |
kms:Decrypt |
||
| GetPermissionSet | 准許擷取許可集的詳細資訊 | 讀取 |
kms:Decrypt |
||
| GetPermissionsBoundaryForPermissionSet | 准許取得許可集的許可界限 | 讀取 |
kms:Decrypt |
||
| GetProfile | 准許擷取應用程式執行個體的描述檔 | 讀取 |
kms:Decrypt |
||
| GetSSOStatus | 准許檢查 IAM Identity Center AWS 是否已啟用 | 讀取 | |||
| GetSharedSsoConfiguration | 准許擷取目前 SSO 執行個體的共用組態 | 讀取 |
kms:Decrypt |
||
| GetSsoConfiguration | 准許擷取目前 SSO 執行個體的組態 | 讀取 |
kms:Decrypt |
||
| GetTrust | 准許在目標帳戶中擷取聯合信任 | 讀取 |
kms:Decrypt |
||
| ImportApplicationInstanceServiceProviderMetadata | 准許透過上傳服務提供者提供的應用程式 SAML 中繼資料檔案來更新應用程式執行個體 | 寫入 |
kms:Decrypt |
||
| ListAccountAssignmentCreationStatus | 准許列出指定 SSO 執行個體的 AWS 帳戶 指派建立請求狀態 | 清單 |
kms:Decrypt |
||
| ListAccountAssignmentDeletionStatus | 准許列出指定 SSO 執行個體的 AWS 帳戶 指派刪除請求狀態 | 清單 |
kms:Decrypt |
||
| ListAccountAssignments | 准許列出 AWS 帳戶 具有指定許可集之指定 的受指派者 | 清單 |
kms:Decrypt |
||
| ListAccountAssignmentsForPrincipal | 准許列出指派給使用者或群組的帳戶 | 清單 |
kms:Decrypt |
||
| ListAccountsForProvisionedPermissionSet | 准許列出佈建指定許可集的所有 AWS 帳戶 | 清單 |
kms:Decrypt |
||
| ListApplicationAccessScopes | 准許列出應用程式的存取範圍 | 清單 |
kms:Decrypt |
||
| ListApplicationAssignments | 准許列出應用程式指派 | 清單 |
kms:Decrypt |
||
| ListApplicationAssignmentsForPrincipal | 准許列出指派給使用者或群組的應用程式 | 清單 |
kms:Decrypt |
||
| ListApplicationAuthenticationMethods | 准許列出應用程式的身分驗證方法 | 清單 |
kms:Decrypt |
||
| ListApplicationGrants | 准許列出來自應用程式的授予 | 清單 |
kms:Decrypt |
||
| ListApplicationInstanceCertificates | 准許擷取特定應用程式執行個體的所有憑證 | 讀取 |
kms:Decrypt |
||
| ListApplicationInstances | 准許擷取所有應用程式執行個體 | 清單 |
kms:Decrypt sso:GetApplicationInstance |
||
| ListApplicationProviders | 准許列出應用程式提供者 | 清單 | |||
| ListApplicationTemplates | 准許擷取所有支援的應用程式範本 | 清單 |
sso:GetApplicationTemplate |
||
| ListApplications | 授予許可擷取與 IAM 身分中心的執行個體相關聯的所有應用程式 | 清單 |
kms:Decrypt |
||
| ListCustomerManagedPolicyReferencesInPermissionSet | 准許列出連接至指定許可集的客戶受管政策參考 | 清單 |
kms:Decrypt |
||
| ListDirectoryAssociations | 准許擷取連線至 IAM Identity Center AWS 之目錄的詳細資訊 | 讀取 |
kms:Decrypt |
||
| ListInstances | 准許列出發起人可以存取的 SSO 執行個體 | 清單 | |||
| ListManagedPoliciesInPermissionSet | 准許列出連接到指定許可集的 AWS 受管政策 | 清單 |
kms:Decrypt |
||
| ListPermissionSetProvisioningStatus | 准許列出指定 SSO 執行個體的許可集佈建請求的狀態 | 清單 |
kms:Decrypt |
||
| ListPermissionSets | 准許擷取所有許可集 | 清單 |
kms:Decrypt |
||
| ListPermissionSetsProvisionedToAccount | 准許列出佈建至指定 的所有許可集 AWS 帳戶 | 清單 |
kms:Decrypt |
||
| ListProfileAssociations | 准許擷取與描述檔相關聯的目錄使用者或群組 | 讀取 |
kms:Decrypt |
||
| ListProfiles | 准許擷取應用程式執行個體的所有描述檔 | 清單 |
kms:Decrypt sso:GetProfile |
||
| ListTagsForResource | 准許列出連接到指定資源的標籤 | 讀取 |
kms:Decrypt |
||
| ListTrustedTokenIssuers | 准許列出執行個體的受信任字符發行者 | 清單 |
kms:Decrypt |
||
| ProvisionPermissionSet | 准許將指定許可集佈建到指定的目標 | 寫入 |
kms:Decrypt |
||
| PutApplicationAccessScope | 准許建立/更新應用程式的存取範圍 | 寫入 |
kms:Decrypt |
||
| PutApplicationAssignmentConfiguration | 准許將指派組態新增至應用程式 | 寫入 |
kms:Decrypt |
||
| PutApplicationAuthenticationMethod | 准許建立/更新應用程式的身分驗證方法 | 寫入 |
kms:Decrypt |
||
| PutApplicationGrant | 准許建立/更新應用程式的授予 | 寫入 |
kms:Decrypt |
||
| PutApplicationSessionConfiguration | 准許放置應用程式的工作階段組態 | 寫入 |
kms:Decrypt |
||
| PutInlinePolicyToPermissionSet | 准許將 IAM 內嵌政策連接到許可集 | 寫入 |
kms:Decrypt |
||
| PutMfaDeviceManagementForDirectory | 准許針對目錄放置 MFA 裝置管理設定 | 寫入 |
kms:Decrypt |
||
| PutPermissionsBoundaryToPermissionSet | 准許將許可界限新增至許可集 | 許可管理 |
kms:Decrypt |
||
| PutPermissionsPolicy | 准許與將政策新增至許可集 | 許可管理 |
kms:Decrypt |
||
| SearchGroups | 准許搜尋關聯目錄中的群組 | 讀取 |
ds:DescribeDirectories kms:Decrypt |
||
| SearchUsers | 准許搜尋關聯目錄中的使用者 | 讀取 |
ds:DescribeDirectories kms:Decrypt |
||
| StartSSO | 准許初始化 AWS IAM Identity Center | 寫入 |
kms:Decrypt kms:DescribeKey kms:Encrypt kms:GenerateDataKeyWithoutPlaintext organizations:DescribeOrganization organizations:EnableAWSServiceAccess |
||
| TagResource | 准許將一組標籤與指定資源建立關聯 | 標記 |
kms:Decrypt |
||
| UntagResource | 准許將一組標籤與指定資源取消關聯 | 標記 |
kms:Decrypt |
||
| UpdateApplication | 准許更新應用程式 | 寫入 |
kms:Decrypt |
||
| UpdateApplicationInstanceActiveCertificate | 准許將憑證設定為此應用程式執行個體的作用中憑證 | 寫入 |
kms:Decrypt |
||
| UpdateApplicationInstanceDisplayData | 准許更新應用程式執行個體的顯示資料 | 寫入 |
kms:Decrypt |
||
| UpdateApplicationInstanceResponseConfiguration | 准許更新應用程式執行個體的聯合回應組態 | 寫入 |
kms:Decrypt |
||
| UpdateApplicationInstanceResponseSchemaConfiguration | 准許更新應用程式執行個體的聯合回應結構描述組態 | 寫入 |
kms:Decrypt |
||
| UpdateApplicationInstanceSecurityConfiguration | 准許更新應用程式執行個體的安全性詳細資訊 | 寫入 |
kms:Decrypt |
||
| UpdateApplicationInstanceServiceProviderConfiguration | 准許更新應用程式執行個體的服務供應商相關組態 | 寫入 |
kms:Decrypt |
||
| UpdateApplicationInstanceStatus | 准許更新應用程式執行個體的狀態 | 寫入 |
kms:Decrypt |
||
| UpdateInstance | 准許更新身分中心執行個體 | 寫入 |
identitystore:UpdateIdentityStore kms:Decrypt kms:DescribeKey kms:Encrypt kms:GenerateDataKeyWithoutPlaintext |
||
| UpdateInstanceAccessControlAttributeConfiguration | 准許更新與 ABAC 執行個體搭配使用的屬性 | 寫入 |
kms:Decrypt |
||
| UpdateManagedApplicationInstanceStatus | 准許更新受管應用程式執行個體的狀態 | 寫入 |
kms:Decrypt |
||
| UpdatePermissionSet | 准許更新許可集 | 許可管理 |
kms:Decrypt |
||
| UpdateProfile | 准許更新應用程式執行個體的描述檔 | 寫入 |
kms:Decrypt |
||
| UpdateSSOConfiguration | 准許更新目前 SSO 執行個體的組態 | 寫入 |
kms:Decrypt |
||
| UpdateTrust | 准許在目標帳戶中更新聯合信任 | 寫入 |
kms:Decrypt |
||
| UpdateTrustedTokenIssuer | 准許更新執行個體的受信任字符發行者 | 寫入 |
kms:Decrypt |
AWS IAM Identity Center 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| PermissionSet |
arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId}
|
|
| Account |
arn:${Partition}:sso:::account/${AccountId}
|
|
| Instance |
arn:${Partition}:sso:::instance/${InstanceId}
|
|
| Application |
arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}
|
|
| TrustedTokenIssuer |
arn:${Partition}:sso::${AccountId}:trustedTokenIssuer/${InstanceId}/${TrustedTokenIssuerId}
|
|
| ApplicationProvider |
arn:${Partition}:sso::aws:applicationProvider/${ApplicationProviderId}
|
AWS IAM Identity Center 的條件索引鍵
AWS IAM Identity Center 定義下列條件索引鍵,可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有 服務可用的全域條件索引鍵,請參閱AWS 全域條件內容索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依要求中傳遞的標籤來篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依與資源關聯的標籤來篩選存取權 | 字串 |
| aws:TagKeys | 依要求中傳遞的標籤索引鍵來篩選存取權 | ArrayOfString |
| sso:ApplicationAccount | 依建立應用程式的 帳戶篩選存取權。客戶受管 SAML 應用程式不支援此條件金鑰 | 字串 |
