Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Ejemplos de política basada en recursos para IAM Identity Center
Todas las aplicaciones que funcionan con el IAM Identity Center y utilizan la [OAuth versión 2.0](customermanagedapps-saml2-oauth2.md#oidc-concept) requieren una política basada en los recursos. La aplicación puede gestionarse por el cliente o gestionarse. AWS La política basada en los recursos requerida, denominada política de *aplicación* (o [ActorPolicy](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_IamAuthenticationMethod.html#API_IamAuthenticationMethod_Contents)en la APIs), define qué [directores de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) están autorizados a ejecutar acciones de la API del método de autenticación de IAM, por ejemplo. [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) **El método de autenticación de IAM permite a un responsable de IAM, como una función o un AWS servicio de IAM, autenticarse en el servicio OIDC del IAM Identity Center presentando las credenciales de IAM para solicitar o gestionar los tokens de acceso en /token? Punto final aws\$1iam=t.**
La política de la aplicación regula las operaciones de emisión de tokens (`CreateTokenWithIAM`). La política también regula las acciones que solo permiten permisos y que solo las aplicaciones AWS administradas utilizan para validar y revocar los tokens (). `IntrospectTokenWithIAM` `RevokeTokenWithIAM` En el caso de una aplicación administrada por el cliente, esta política se configura especificando las entidades principales de IAM que están autorizadas a realizar llamadas a `CreateTokenWithIAM`. Cuando una entidad principal autorizada activa esta acción de API, la entidad autorizada recibe los tokens de acceso y actualización de la aplicación.
Si utiliza la consola del Centro de Identidad de IAM para configurar una aplicación gestionada por el cliente para la [propagación de identidades de forma fiable](trustedidentitypropagation-overview.md), consulte el paso 4 de [Configurar aplicaciones OAuth 2.0 gestionadas por el cliente para obtener información sobre cómo configurar la política de aplicaciones](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md). Para obtener una política ejemplo, consulte [Ejemplo de política: permitir que un rol de IAM cree tokens de acceso y actualización tokens](#oauth-application-policy-example), más adelante en este tema.
## Requisitos de la política
La política debe cumplir los siguientes requisitos:
+ La política debe incluir un elemento `Version ` establecido en «2012-10-17».
+ La política debe incluir al menos un elemento `Statement`.
+ Cada política `Statement` debe incluir los siguientes elementos: `Effect`, `Principal`, `Action` y `Resource`.
## Elementos de una política
La política debe incluir los siguientes elementos:
**Versión**
Especifica la versión del documento de política. Configure la versión en `2012-10-17` (la última versión).
**Instrucción**
Contiene la política `Statements`. La política debe contener al menos un valor `Statement`.
Cada política `Statement` está formada por los siguientes elementos:
**Efecto**
(Obligatorio) Determina si desea permitir o denegar los permisos en la declaración de política. Los valores válidos son `Allow` o `Deny`.
**Principal**
(Obligatorio) La [entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) es la identidad que obtiene los permisos especificados en la declaración de política. Puede especificar los roles de IAM o las entidades principales de servicio de AWS .
**Action**
(Obligatorio) Las operaciones de la API del servicio OIDC de IAM Identity Center para permitir o denegar. Entre las acciones válidas se incluyen:
+ `sso-oauth:CreateTokenWithIAM`: Esta acción, que corresponde a la operación de la [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)API, otorga permiso para crear y devolver los tokens de acceso y actualizar las aplicaciones cliente autorizadas que se autentican mediante cualquier entidad de IAM, como un rol de AWS servicio o un usuario. Estos tokens pueden contener ámbitos definidos que especifiquen permisos, como `read:profile` o `write:data`.
+ `sso-oauth:IntrospectTokenWithIAM`[solo con permiso]: otorga permiso para validar y recuperar información sobre los tokens de acceso OAuth 2.0 activos y los tokens de actualización, incluidos sus alcances y permisos asociados. Este permiso solo lo utilizan las aplicaciones AWS gestionadas y no está documentado en la referencia de la API *OIDC del IAM Identity Center*.
+ `RevokeTokenWithIAM `[solo permiso]: otorga permiso para revocar los tokens de acceso OAuth 2.0 y actualizar los tokens, invalidándolos antes de su caducidad normal. Este permiso solo lo utilizan las aplicaciones AWS gestionadas y no está documentado en la referencia de la API del *OIDC del IAM Identity Center*.
**Recurso**
(Obligatorio) En esta política, el valor del elemento `Resource` es `"*"`, que significa «esta aplicación».
*Para obtener más información sobre la sintaxis de las AWS políticas, consulte la [Referencia de políticas de AWS IAM en la Guía](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) del usuario de IAM.*
## Ejemplo de política: permitir que un rol de IAM cree tokens de acceso y actualización tokens
La siguiente política de permisos otorga permisos a `ExampleAppClientRole`, un rol de IAM asumido por una carga de trabajo para crear y devolver los tokens de acceso y actualización.
```
1. {
2. "Version": "2012-10-17",
3. "Statement": [
4. {
5. "Sid": "AllowRoleToCreateTokens",
6. "Effect": "Allow",
7. "Principal": {
8. "AWS": "arn:aws:iam::111122223333:role/ExampleAppClientRole"
9. },
10. "Action": "sso-oauth:CreateTokenWithIAM",
11. "Resource": "*"
12. }
13. ]
14. }
```