How to limit permission to AWS SSO user

I have full access to AWS services and resources of a member account, and I can't administer IAM Identity Center from this member account. I used IAM to create IAM user and group for other users. Now we migrate IAM users to AWS SSO, all SSO users have 2 options(ReadOnly or PowerUser), how am I limit or assign SSO user permissions?

Sujets

Sécurité, identité et conformité

Balises

Sécurité, identité et conformité Centre d’identité IAM AWS

Langue

English

JohnXue

demandé il y a 9 mois501 vues

2 réponses

Le plus récent
Le plus de votes
La plupart des commentaires

Ces réponses sont-elles utiles ? Votez pour la bonne réponse pour aider la communauté à bénéficier de vos connaissances.

Réponse acceptée

Hello.
You must operate with an IAM Identity Center administrative account and assign the necessary permissions.
https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html

Alternatively, IAM Identity Center administration can be delegated to a specific member account.
In that case, it will be possible to operate the IAM Identity Center from a delegated member account and assign privileges.
https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html

EXPERT

Riku_Kobayashi

répondu il y a 9 mois

EXPERT

Gary Mclean

vérifié il y a 9 mois

EXPERT

Didier_Durand

vérifié il y a 9 mois

Riku_Kobayashi EXPERT
il y a 9 mois

I can't set policies for SSO users like in IAM anymore, right?

It cannot be operated from the IAM screen. Attach IAM policies in the IAM Identity Center permission set.

May I grant ReadOnly to all SSO users, create IAM role, let SSO user assume role when they need?

Do you want to set a set of permissions for a user with a ReadOnly policy? SSO users can be assigned multiple sets of privileges. For example, if an SSO user is assigned the ReadOnly permission set and the PowerUser permission set, the user can switch between the two permission sets when necessary.

Thanks Riku. 1 I can't set policies for SSO users like in IAM anymore, right? 2 May I grant ReadOnly to all SSO users, create IAM role, let SSO user assume role when they need?

JohnXue

répondu il y a 9 mois

Contenus pertinents

My account is not recognized
juan ortega
demandé il y a un an
Bedrock Titan completionReason CONTENT_FILTERED
Trento58
demandé il y a 2 mois
error 403 / cloud front
nico-HPF
demandé il y a 2 mois
[ACTION REQUIRED] Update your TLS connections to 1.2 : quelles applications sont concernées ?
rePost-User-7550145
demandé il y a un an
Comment résoudre l'erreur « The IAM role must delegate access to an Amazon Redshift account » (Le rôle IAM doit déléguer l'accès à un compte Amazon Redshift) dans Amazon Redshift lors de l'utilisation d'AWS CloudFormation ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment charger et importer un certificat SSL vers AWS Identity and Access Management (IAM) ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment résoudre l'erreur « Did not have IAM permissions to process tags on AWS::EC2::Instance resource » (Autorisations IAM indisponibles pour traiter les balises sur AWS። EC2። Instance resource) lorsque je crée une ressource AWS። EC2። Instance dans CloudFormation ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment utiliser AWS Identity and Access Management (IAM) pour autoriser l'utilisateur à accéder aux ressources ?
AWS OFFICIELA mis à jour il y a 3 ans