Use políticas do IAM nos conjuntos de permissões - AWS IAM Identity Center

Use políticas do IAM nos conjuntos de permissões

Em Criar um conjunto de permissões, você aprendeu a adicionar políticas, inclusive políticas gerenciadas pelo cliente e limites de permissões, a um conjunto de permissões. Quando você adiciona políticas e permissões gerenciadas pelo cliente a um conjunto de permissões, o IAM Identity Center não cria uma política em nenhum Contas da AWS. Em vez disso, você deve criar essas políticas com antecedência em cada conta à qual deseja atribuir seu conjunto de permissões e combiná-las com as especificações de nome e caminho do seu conjunto de permissões. Quando você atribui um conjunto de permissões a uma Conta da AWS, o IAM Identity Center cria um perfil (IAM) do AWS Identity and Access Management e anexa suas políticas do IAM a esse perfil.

nota

Antes de atribuir seu conjunto de permissões às políticas do IAM, você deve preparar sua conta de membro. O nome de uma política do IAM em sua conta-membro deve ser igual ao nome da política em sua conta de gerenciamento. O IAM Identity Center não consegue atribuir o conjunto de permissões se a política não existir em sua conta de membro.

As permissões concedidas pela política não precisam ser uma correspondência exata entre as contas.

Atribuir uma política do IAM a um conjunto de permissões

  1. Crie uma política do IAM em cada uma das Contas da AWS em que você deseja atribuir o conjunto de permissões.

  2. Atribua permissões à política do IAM;. Você pode atribuir permissões diferentes em contas diferentes. Para uma experiência consistente, configure e mantenha permissões idênticas em cada política. Você pode usar recursos de automação, como AWS CloudFormation StackSets, para criar cópias de uma política do IAM com o mesmo nome e permissões em cada conta membro. Para obter mais informações sobre o CloudFormation StackSets, consulte Trabalhar com o CloudFormation StackSets do AWS no Manual do usuário do AWS CloudFormation.

  3. Crie um conjunto de permissões em sua conta de gerenciamento e adicione sua política do IAM em Políticas gerenciadas pelo cliente ou Limite de permissões. Para obter mais detalhes sobre como criar um conjunto de permissões, consulte Criar um conjunto de permissões.

  4. Adicione quaisquer políticas em linha, políticas AWS gerenciadas ou políticas do IAM que você tenha preparado.

  5. Crie e atribua seu conjunto de permissões.