Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon IAM 身份中心的托管策略

要创建 IAM 客户托管策略以仅向您的团队提供他们所需的权限，需要时间和专业知识。要快速入门，您可以使用 Amazon 托管策略。这些策略涵盖常见使用案例，可在您的 Amazon Web Services 账户中使用。有关 Amazon 托管策略的更多信息，请参阅《IAM 用户指南》中的Amazon 托管策略。

Amazon 服务维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份（用户、组和角色）。当启动新功能或新操作可用时，服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管策略中移除权限，因此策略更新不会破坏您的现有权限。

此外，还 Amazon 支持跨多个服务的工作职能的托管策略。例如，ReadOnlyAccess Amazon 托管策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动一项新功能时， Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明，请参阅《IAM 用户指南》中的适用于工作职能的Amazon 托管式策略。

新命名空间 identitystore-auth 下提供了允许您列出和删除用户会话的新操作。此命名空间中的任何其他操作权限都将在此页面上更新。创建自定义 IAM 策略时，请避免在 identitystore-auth 后使用 *，因为这适用于当前或将来命名空间中存在的所有操作。

Amazon 托管策略： AWSSSOMasterAccountAdministrator

AWSSSOMasterAccountAdministrator 策略向主体提供所需的管理操作。该政策适用于担任 Amazon IAM Identity Center 管理员工作角色的委托人。随着时间的推移，所提供的操作列表将会更新，以匹配 IAM Identity Center 的现有功能以及管理员所需的操作。

您可以将 AWSSSOMasterAccountAdministrator 策略附加到 IAM 身份。当您将AWSSSOMasterAccountAdministrator策略附加到身份时，即授予管理 Amazon IAM Identity Center 权限。拥有此政策的委托人可以在 Amazon Organizations 管理账户和所有成员账户中访问 IAM Identity Center。该主体可以完全管理所有 IAM Identity Center 操作，包括创建 IAM Identity Center 实例、用户、权限集和分配的能力。委托人还可以在整个 Amazon 组织成员账户中实例化这些分配，并在 Amazon Directory Service 托管目录和 IAM Identity Center 之间建立连接。随着新管理功能的发布，帐户管理员将自动获得这些权限。

权限分组

此策略根据提供的权限集分为多个语句。

{
   "Version":"2012-10-17",
   "Statement":[
     {
         "Sid": "AWSSSOCreateSLR",
         "Effect": "Allow",
         "Action": "iam:CreateServiceLinkedRole",
         "Resource": "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
         "Condition": {
            "StringLike": {
               "iam:AWSServiceName": "sso.amazonaws.com"
            }
         }
     },
     {
         "Sid":"AWSSSOMasterAccountAdministrator",
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
         "Condition":{
             "StringLike":{
               "iam:PassedToService":"sso.amazonaws.com"
             }
         }
      },
      {
         "Sid":"AWSSSOMemberAccountAdministrator",
         "Effect":"Allow",
         "Action":[
            "ds:DescribeTrusts",
            "ds:UnauthorizeApplication",
            "ds:DescribeDirectories",
            "ds:AuthorizeApplication",
            "iam:ListPolicies",
            "organizations:EnableAWSServiceAccess",
            "organizations:ListRoots",
            "organizations:ListAccounts",
            "organizations:ListOrganizationalUnitsForParent",
            "organizations:ListAccountsForParent",
            "organizations:DescribeOrganization",
            "organizations:ListChildren",
            "organizations:DescribeAccount",
            "organizations:ListParents",
            "organizations:ListDelegatedAdministrators",
            "sso:*",
            "sso-directory:*",
            "identitystore:*",
            "identitystore-auth:*",
            "ds:CreateAlias",
            "access-analyzer:ValidatePolicy"
         ],
         "Resource":"*"
      },
      {
         "Sid": "AWSSSOManageDelegatedAdministrator",
         "Effect": "Allow",
         "Action": [
            "organizations:RegisterDelegatedAdministrator",
            "organizations:DeregisterDelegatedAdministrator"
         ],
         "Resource": "*",
         "Condition": {
            "StringEquals": { 
               "organizations:ServicePrincipal": "sso.amazonaws.com"
        }
            }
        }

   ]
}

有关此策略的其他信息

首次启用 IAM Identity Center 时，IAM Identity Center 服务会在 Amazon Organizations 管理账户（以前称为主账户）中创建一个服务关联角色，这样 IAM Identity Center 就可以管理您账户中的资源。所需的操作是 iam:CreateServiceLinkedRole 和 iam:PassRole，如以下代码片段所示。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid": "AWSSSOCreateSLR",
         "Effect": "Allow",
         "Action": "iam:CreateServiceLinkedRole",
         "Resource": "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
         "Condition": {
            "StringLike": {
               "iam:AWSServiceName": "sso.amazonaws.com"
            }
         }
      },
      {
         "Sid":"AWSSSOMasterAccountAdministrator",
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO",
         "Condition":{
             "StringLike":{
               "iam:PassedToService":"sso.amazonaws.com"
             }
         }
      },
   ]
}

Amazon 托管策略： AWSSSOMemberAccountAdministrator

AWSSSOMemberAccountAdministrator 策略向主体提供所需的管理操作。该策略适用于执行 IAM Identity Center 管理员工作角色的主体。随着时间的推移，所提供的操作列表将会更新，以匹配 IAM Identity Center 的现有功能以及管理员所需的操作。

您可以将 AWSSSOMemberAccountAdministrator 策略附加到 IAM 身份。当您将AWSSSOMemberAccountAdministrator策略附加到身份时，即授予管理 Amazon IAM Identity Center 权限。拥有此政策的委托人可以在 Amazon Organizations 管理账户和所有成员账户中访问 IAM Identity Center。该主体可以完全管理所有 IAM Identity Center 操作，包括创建用户、权限集和分配的能力。委托人还可以在整个 Amazon 组织成员账户中实例化这些分配，并在 Amazon Directory Service 托管目录和 IAM Identity Center 之间建立连接。随着新管理功能的发布，帐户管理员自动获得这些权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSSSOMemberAccountAdministrator",
      "Effect": "Allow",
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:DescribeTrusts",
        "iam:ListPolicies",
        "organizations:EnableAWSServiceAccess",
        "organizations:DescribeOrganization",
        "organizations:DescribeAccount",
        "organizations:ListRoots",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListDelegatedAdministrators",
        "sso:*",
        "sso-directory:*",
        "identitystore:*",
        "identitystore-auth:*",
        "ds:CreateAlias",
        "access-analyzer:ValidatePolicy"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AWSSSOManageDelegatedAdministrator",
      "Effect": "Allow",
      "Action": [
        "organizations:RegisterDelegatedAdministrator",
        "organizations:DeregisterDelegatedAdministrator"
      ],
      "Resource": "*",
        "Condition": {
           "StringEquals": { 
              "organizations:ServicePrincipal": "sso.amazonaws.com"
        }
            }
        }
  ]
}

有关此策略的其他信息

IAM Identity Center 管理员管理其 Identity Center 目录存储（sso 目录）中的用户、组和密码。帐户管理员角色包括以下操作的权限：

IAM Identity Center 管理员需要对以下 Amazon Directory Service 操作的有限权限才能执行日常任务。

这些权限允许 IAM Identity Center 管理员识别现有目录并管理应用程序，以便可以将它们配置为与 IAM Identity Center 一起使用。有关每个操作的更多信息，请参阅 Amazon Directory Service API 权限：操作、资源和条件参考。

IAM Identity Center 使用 IAM 策略向 IAM Identity Center 用户授予权限。IAM Identity Center 管理员创建权限集并向其附加策略。IAM Identity Center 管理员必须有权列出现有策略，以便他们可以选择将哪些策略与他们正在创建或更新的权限集一起使用。要设置安全和功能权限，IAM Identity Center 管理员必须有权运行 IAM Access Analyzer 策略验证。

IAM Identity Center 管理员需要有限访问以下 Amazon Organizations 操作才能执行日常任务：

这些权限使 IAM Identity Center 管理员能够使用组织资源（账户）来执行基本 IAM Identity Center 管理任务，如下所示：

有关通过 IAM Identity Center 使用委派管理员的更多信息，请参阅 委派管理。有关如何将这些权限用于的更多信息 Amazon Organizations，请参阅与其他 Amazon 服务 Amazon Organizations 一起使用。

Amazon 托管策略： AWSSSODirectoryAdministrator

您可以将 AWSSSODirectoryAdministrator 策略附加到 IAM 身份。

此策略授予对 IAM Identity Center 用户和组的管理权限。附加此策略的主体可以对 IAM Identity Center 用户和组进行任何更新。下面的代码段显示了此策略声明的内容。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSSSODirectoryAdministrator",
            "Effect": "Allow",
            "Action": [
                "sso-directory:*",
                "identitystore:*",
                "identitystore-auth:*",
                "sso:ListDirectoryAssociations"
            ],
            "Resource": "*"
        }
    ]
}

Amazon 托管策略： AWSSSOReadOnly

您可以将 AWSSSOReadOnly 策略附加到 IAM 身份。

此策略授予只读权限，允许用户查看 IAM Identity Center 中的信息。附加此策略的主体无法直接查看 IAM Identity Center 用户或组。附加此策略的主体无法在 IAM Identity Center 中进行任何更新。例如，具有这些权限的主体可以查看 IAM Identity Center 设置，但无法更改任何设置值。下面的代码段显示了此策略声明的内容。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSSSOReadOnly",
            "Effect": "Allow",
            "Action": [
                "ds:DescribeDirectories",
                "ds:DescribeTrusts",
                "iam:ListPolicies",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListParents",
                "organizations:ListChildren",
                "organizations:ListAccounts",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListDelegatedAdministrators",
                "sso:Describe*",
                "sso:Get*",
                "sso:List*",
                "sso:Search*",
                "sso-directory:DescribeDirectory",
                "access-analyzer:ValidatePolicy"
            ],
            "Resource": "*"
        }
    ]
}

Amazon 托管策略： AWSSSODirectoryReadOnly

您可以将 AWSSSODirectoryReadOnly 策略附加到 IAM 身份。

此策略授予只读权限，允许用户查看 IAM Identity Center 中的用户和组。附加此策略的主体无法查看 IAM Identity Center 分配、权限集、应用程序或设置。附加此策略的主体无法在 IAM Identity Center 中进行任何更新。例如，具有这些权限的主体可以查看 IAM Identity Center 用户，但他们无法更改任何用户属性或分配 MFA 设备。下面的代码段显示了此策略声明的内容。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSSSODirectoryReadOnly",
            "Effect": "Allow",
            "Action": [
                "sso-directory:Search*",
                "sso-directory:Describe*",
                "sso-directory:List*",
                "sso-directory:Get*",
                "identitystore:Describe*",
                "identitystore:List*",
                "identitystore-auth:ListSessions",
                "identitystore-auth:BatchGetSession"
            ],
            "Resource": "*"
        }
    ]
}

Amazon 托管策略： AWSIdentitySyncFullAccess

您可以将 AWSIdentitySyncFullAccess 策略附加到 IAM 身份。

附加此策略的主体拥有完全访问权限，可以创建和删除同步配置文件、将同步配置文件与同步目标关联或更新、创建、列出和删除同步筛选条件以及启动或停止同步。

权限详细信息

此策略包括访问 Active Directory 时的以下权限。

下面的代码段显示了此策略声明的内容。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:AuthorizeApplication",
                "ds:UnauthorizeApplication"
            ],
            "Resource": "*"
        },  
        {
            "Effect": "Allow",
            "Action": [
                "identity-sync:DeleteSyncProfile",
                "identity-sync:CreateSyncProfile",
                "identity-sync:GetSyncProfile",
                "identity-sync:StartSync",
                "identity-sync:StopSync",
                "identity-sync:CreateSyncFilter",
                "identity-sync:DeleteSyncFilter",
                "identity-sync:ListSyncFilters",
                "identity-sync:CreateSyncTarget",
                "identity-sync:DeleteSyncTarget",
                "identity-sync:GetSyncTarget",
                "identity-sync:UpdateSyncTarget"
            ],
            "Resource": "*"
        }
    ]
}

Amazon 托管策略： AWSIdentitySyncReadOnlyAccess

您可以将 AWSIdentitySyncReadOnlyAccess 策略附加到 IAM 身份。

此策略授予只读权限，允许用户查看有关身份同步配置文件、筛选条件和目标设置的信息。附加此策略的主体无法对同步设置进行任何更新。例如，具有这些权限的主体可以查看身份同步设置，但无法更改任何配置文件或筛选条件值。下面的代码段显示了此策略声明的内容。

{
    "Version": "2012-10-17",
    "Statement": [ 
        {
            "Effect": "Allow",
            "Action": [
                "identity-sync:GetSyncProfile",
                "identity-sync:ListSyncFilters",
                "identity-sync:GetSyncTarget",
            ],
            "Resource": "*"
        }
    ]
}

Amazon 托管策略： AWSSSOServiceRolePolicy

您不可以将 AWSSSOServiceRolePolicy 策略附加得到 IAM 身份。

此策略附加到服务相关角色，允许 IAM Identity Center 委派和强制执行哪些用户具有单点登录访问权限的特定 Amazon Web Services 账户 用户。 Amazon Organizations启用 IAM 后，将在组织 Amazon Web Services 账户 内的所有区域中创建一个与服务相关的角色。IAM Identity Center 还会在随后添加到您的组织的每个账户中创建相同的服务相关角色。此角色允许 IAM Identity Center 代表您访问每个账户的资源。在每个角色中创建的服务相关角色 Amazon Web Services 账户 都被命名AWSServiceRoleForSSO。有关更多信息，请参阅 使用 IAM Identity Center 的服务相关角色。

Amazon 托管策略：AWSIAMIdentityCenterAllowListForIdentityContext

在 IAM Identity Center 身份上下文中担任角色时， Amazon Security Token Service (Amazon STS) 会自动将AWSIAMIdentityCenterAllowListForIdentityContext策略附加到该角色。

此策略提供了当您对在 IAM Identity Center 身份上下文中担任的角色使用可信身份传播时，所允许的操作列表。在此上下文中调用的所有其他操作都将被阻止。身份上下文作为 ProvidedContext 传递。下面的代码段显示了此策略声明的内容。

{
    "Version": "2012-10-17",
    "Statement": [ 
        {
            "Sid": "TrustedIdentityPropagation",
            "Effect": "Deny",
            "NotAction": [
                "athena:BatchGetNamedQuery",
                "athena:BatchGetPreparedStatement",
                "athena:BatchGetQueryExecution",
                "athena:CreateNamedQuery",
                "athena:CreatePreparedStatement",
                "athena:DeleteNamedQuery",
                "athena:DeletePreparedStatement",
                "athena:GetNamedQuery",
                "athena:GetPreparedStatement",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetQueryRuntimeStatistics",
                "athena:GetWorkGroup",
                "athena:ListNamedQueries",
                "athena:ListPreparedStatements",
                "athena:ListQueryExecutions",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:UpdateNamedQuery",
                "athena:UpdatePreparedStatement",
                "athena:GetDatabase",
                "athena:GetDataCatalog",
                "athena:GetTableMetadata",
                "athena:ListDatabases",
                "athena:ListDataCatalogs",
                "athena:ListTableMetadata",
                "athena:ListWorkGroups",
                "elasticmapreduce:GetClusterSessionCredentials",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetTableVersions",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition",
                "glue:GetColumnStatisticsForPartition",
                "glue:GetColumnStatisticsForTable",
                "glue:SearchTables",
                "glue:CreateDatabase",
                "glue:UpdateDatabase",
                "glue:DeleteDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:BatchUpdatePartition",
                "glue:DeleteColumnStatisticsForPartition",
                "glue:DeleteColumnStatisticsForTable",
                "glue:UpdateColumnStatisticsForPartition",
                "glue:UpdateColumnStatisticsForTable",
                "lakeformation:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix",
                "s3:GetDataAccess"
            ],
            "Resource": "*"
        }
    ]
}

IAM 身份中心对 Amazon 托管策略的更新

下表描述了自该服务开始跟踪这些更改以来对 IAM Identity Center Amazon 托管策略的更新。有关此页面更改的自动提示，请订阅 IAM Identity Center 文档历史记录页面上的 RSS 源。