As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Exemplos de políticas baseadas em identidade para o IAM Identity Center
Este tópico fornece exemplos de políticas do IAM que você pode criar para conceder aos usuários e perfis permissões para administrar o IAM Identity Center.
**Importante**
Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do seu IAM Identity Center. Para obter mais informações, consulte [Visão geral do gerenciamento de permissões de acesso aos seus recursos do IAM Identity Center](iam-auth-access-overview.md).
As seções neste tópico abrangem o seguinte:
+ [Exemplos de políticas personalizadas](#policyexample)
+ [Permissões necessárias para usar o console do IAM Identity Center](#requiredpermissionsconsole)
## Exemplos de políticas personalizadas
Esta seção fornece exemplos de casos de uso comuns que exigem uma política do IAM personalizada. Esses exemplos de políticas são políticas baseadas em identidade, que não especificam o elemento da entidade principal. Isso ocorre porque, com uma política baseada em identidade, não se especifica a entidade principal que obtém as permissões. Em vez disso, você anexa a política à entidade entidade principal. Quando você anexa uma política de permissão baseada em identidade a um perfil do IAM, a entidade principal identificada na política de confiança do perfil obtém as permissões. Você pode criar políticas baseadas em identidade no IAM e anexá-las a usuários, and/or grupos e funções. Você também pode aplicar essas políticas aos usuários do IAM Identity Center ao criar um conjunto de permissões no IAM Identity Center.
**nota**
Use esses exemplos ao criar políticas para seu ambiente e certifique-se de testar casos de teste positivos (“acesso concedido”) e negativos (“acesso negado”) antes de implantar essas políticas em seu ambiente de produção. Para obter mais informações sobre como testar políticas do IAM, consulte [Testing IAM policies with the IAM policy simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
**Topics**
+ [Exemplo 1: permitir que um usuário visualize o IAM Identity Center](#policyexamplesetupenable)
+ [Exemplo 2: permitir que um usuário gerencie permissões Contas da AWS no IAM Identity Center](#policyexamplemanageconnecteddirectory)
+ [Exemplo 3: permitir que um usuário gerencie aplicativos no IAM Identity Center](#policyexamplemanageapplication)
+ [Exemplo 4: permitir que um usuário gerencie usuários e grupos no seu diretório do Identity Center](#policyexamplemanageusersgroups)
### Exemplo 1: permitir que um usuário visualize o IAM Identity Center
A política de permissões a seguir concede permissões somente de leitura a um usuário para que ele possa visualizar todas as configurações e informações de diretório configuradas no IAM Identity Center.
**nota**
Esta política é fornecida apenas para fins de exemplo. Em um ambiente de produção, recomendamos que você use a política `ViewOnlyAccess` AWS gerenciada para o IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"iam:ListPolicies",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListRoots",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"sso:ListManagedPoliciesInPermissionSet",
"sso:ListPermissionSetsProvisionedToAccount",
"sso:ListAccountAssignments",
"sso:ListAccountsForProvisionedPermissionSet",
"sso:ListPermissionSets",
"sso:DescribePermissionSet",
"sso:GetInlinePolicyForPermissionSet",
"sso-directory:DescribeDirectory",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups"
],
"Resource": "*"
}
]
}
```
------
### Exemplo 2: permitir que um usuário gerencie permissões Contas da AWS no IAM Identity Center
A política de permissões a seguir concede permissões para permitir que um usuário crie, gerencie e implemente conjuntos de permissões para o seu Contas da AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:AttachManagedPolicyToPermissionSet",
"sso:CreateAccountAssignment",
"sso:CreatePermissionSet",
"sso:DeleteAccountAssignment",
"sso:DeleteInlinePolicyFromPermissionSet",
"sso:DeletePermissionSet",
"sso:DetachManagedPolicyFromPermissionSet",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:UpdatePermissionSet"
],
"Resource": "*"
},
{
"Sid": "IAMListPermissions",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListPolicies"
],
"Resource": "*"
},
{
"Sid": "AccessToSSOProvisionedRoles",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRole",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:PutRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetSAMLProvider"
],
"Resource": "arn:aws:iam::*:saml-provider/AWSSSO_*_DO_NOT_DELETE"
}
]
}
```
------
**nota**
As permissões adicionais listadas nas `"Sid": "IAMListPermissions"` `"Sid": "AccessToSSOProvisionedRoles"` seções e são necessárias somente para permitir que o usuário crie atribuições na conta AWS Organizations de gerenciamento. Em certos casos, também pode ser necessário adicionar itens `iam:UpdateSAMLProvider` a essas seções.
### Exemplo 3: permitir que um usuário gerencie aplicativos no IAM Identity Center
A política de permissões a seguir concede permissões para permitir que um usuário visualize e configure aplicativos no IAM Identity Center, incluindo aplicativos SaaS pré-integrados do catálogo do IAM Identity Center.
**nota**
A operação `sso:AssociateProfile` usada no exemplo de política a seguir é necessária para o gerenciamento das atribuições de usuários e grupos aos aplicativos. Também permite que um usuário atribua usuários e grupos Contas da AWS usando os conjuntos de permissões existentes. Se um usuário precisar gerenciar o Conta da AWS acesso no IAM Identity Center e exigir as permissões necessárias para gerenciar os conjuntos de permissões, consulte[Exemplo 2: permitir que um usuário gerencie permissões Contas da AWS no IAM Identity Center](#policyexamplemanageconnecteddirectory).
Em outubro de 2020, muitas dessas operações estavam disponíveis somente por meio do console AWS . Esse exemplo de política inclui ações de “leitura”, como listar, obter e pesquisar, que são relevantes para a operação sem erros do console nesse caso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:AssociateProfile",
"sso:CreateApplicationInstance",
"sso:ImportApplicationInstanceServiceProviderMetadata",
"sso:DeleteApplicationInstance",
"sso:DeleteProfile",
"sso:DisassociateProfile",
"sso:GetApplicationTemplate",
"sso:UpdateApplicationInstanceServiceProviderConfiguration",
"sso:UpdateApplicationInstanceDisplayData",
"sso:DeleteManagedApplicationInstance",
"sso:UpdateApplicationInstanceStatus",
"sso:GetManagedApplicationInstance",
"sso:UpdateManagedApplicationInstanceStatus",
"sso:CreateManagedApplicationInstance",
"sso:UpdateApplicationInstanceSecurityConfiguration",
"sso:UpdateApplicationInstanceResponseConfiguration",
"sso:GetApplicationInstance",
"sso:CreateApplicationInstanceCertificate",
"sso:UpdateApplicationInstanceResponseSchemaConfiguration",
"sso:UpdateApplicationInstanceActiveCertificate",
"sso:DeleteApplicationInstanceCertificate",
"sso:ListApplicationInstanceCertificates",
"sso:ListApplicationTemplates",
"sso:ListApplications",
"sso:ListApplicationInstances",
"sso:ListDirectoryAssociations",
"sso:ListProfiles",
"sso:ListProfileAssociations",
"sso:ListInstances",
"sso:GetProfile",
"sso:GetSSOStatus",
"sso:GetSsoConfiguration",
"sso-directory:DescribeDirectory",
"sso-directory:DescribeUsers",
"sso-directory:ListMembersInGroup",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers"
],
"Resource": "*"
}
]
}
```
------
### Exemplo 4: permitir que um usuário gerencie usuários e grupos no seu diretório do Identity Center
A seguinte política de permissões concede permissões para permitir que um usuário crie, visualize, modifique e exclua usuários e grupos no IAM Identity Center.
Em alguns casos, as modificações diretas nos usuários e grupos no IAM Identity Center são restritas. Por exemplo, quando o Active Directory, ou um provedor de identidade externo com o provisionamento automático ativado, é selecionado como fonte de identidade.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso-directory:ListGroupsForUser",
"sso-directory:DisableUser",
"sso-directory:EnableUser",
"sso-directory:SearchGroups",
"sso-directory:DeleteGroup",
"sso-directory:AddMemberToGroup",
"sso-directory:DescribeDirectory",
"sso-directory:UpdateUser",
"sso-directory:ListMembersInGroup",
"sso-directory:CreateUser",
"sso-directory:DescribeGroups",
"sso-directory:SearchUsers",
"sso:ListDirectoryAssociations",
"sso-directory:RemoveMemberFromGroup",
"sso-directory:DeleteUser",
"sso-directory:DescribeUsers",
"sso-directory:UpdateGroup",
"sso-directory:CreateGroup"
],
"Resource": "*"
}
]
}
```
------
## Permissões necessárias para usar o console do IAM Identity Center
Para que um usuário trabalhe com o console do IAM Identity Center sem erros, são necessárias permissões adicionais. Se foi criada uma política do IAM que seja mais restritiva que as permissões mínimas exigidas, o console não funcionará como pretendido para os usuários com essa política. O exemplo a seguir lista o conjunto de permissões que podem ser necessárias para garantir uma operação sem erros no console do IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:DescribeAccountAssignmentCreationStatus",
"sso:DescribeAccountAssignmentDeletionStatus",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:DescribeRegisteredRegions",
"sso:GetApplicationInstance",
"sso:GetApplicationTemplate",
"sso:GetInlinePolicyForPermissionSet",
"sso:GetManagedApplicationInstance",
"sso:GetMfaDeviceManagementForDirectory",
"sso:GetPermissionSet",
"sso:GetProfile",
"sso:GetSharedSsoConfiguration",
"sso:GetSsoConfiguration",
"sso:GetSSOStatus",
"sso:GetTrust",
"sso:ListAccountAssignmentCreationStatus",
"sso:ListAccountAssignmentDeletionStatus",
"sso:ListAccountAssignments",
"sso:ListAccountsForProvisionedPermissionSet",
"sso:ListApplicationInstanceCertificates",
"sso:ListApplicationInstances",
"sso:ListApplications",
"sso:ListApplicationTemplates",
"sso:ListDirectoryAssociations",
"sso:ListInstances",
"sso:ListManagedPoliciesInPermissionSet",
"sso:ListPermissionSetProvisioningStatus",
"sso:ListPermissionSets",
"sso:ListPermissionSetsProvisionedToAccount",
"sso:ListProfileAssociations",
"sso:ListProfiles",
"sso:ListTagsForResource",
"sso-directory:DescribeDirectory",
"sso-directory:DescribeGroups",
"sso-directory:DescribeUsers",
"sso-directory:ListGroupsForUser",
"sso-directory:ListMembersInGroup",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers"
],
"Resource": "*"
}
]
}
```
------