Atribuir a grupos acesso à Conta da AWS - AWS IAM Identity Center

Atribuir a grupos acesso à Conta da AWS

Depois que criou um usuário administrativo no IAM Identity Center e conjuntos de permissões adicionais que você pode usar para realizar tarefas com permissões de privilégio mínimo, pode fornecer a grupos de usuários às suas Contas da AWS.

Recomendados que você atribua acesso diretamente aos grupos, em vez de a usuários individuais. Por exemplo, se criar grupos e conjuntos de permissões com base em unidades organizacionais, se um usuário for transferido para outra unidade organizacional, você só precisará passar esse usuário para um outro grupo e ele receberá automaticamente as permissões necessárias para a nova unidade organizacional e perderá as permissões da unidade organizacional anterior.

Para atribuir a um grupo de usuários acesso a Contas da AWS

  1. Abra o console do IAM Identity Center.

    nota

    Se sua fonte de identidades for o AWS Managed Microsoft AD, certifique-se de que o console do IAM Identity Center esteja usando a região em que seu diretório do AWS Managed Microsoft AD está localizado.

  2. No painel de navegação, em Permissões de várias contas, escolha Contas da AWS.

  3. Na página Contas da AWS, aparece uma lista de visualização em árvore da sua organização. Marque a caixa de seleção ao lado de uma ou mais Contas da AWS às quais deseja atribuir acesso de logon único.

    nota

    Você pode selecionar até 10 Contas da AWS por conjunto de permissões.

  4. Escolha Atribuir usuários ou grupos.

  5. Em Etapa 1: selecionar usuários e grupos, na página Atribuir usuários e grupos a "AWS-account-name", selecione a guia Grupos e escolha um ou mais grupos.

    Para filtrar os resultados, comece a digitar o nome do grupo que deseja na caixa de pesquisa.

    Para exibir os usuários e grupos selecionados, escolha o triângulo virado ao lado de Usuários e grupos selecionados.

    Depois de confirmar que os usuários e grupos corretos foram selecionados, escolha Avançar.

  6. Em Etapa 2: selecionar conjuntos de permissões, na página Atribuir conjuntos de permissões a "AWS-account-name", selecione um ou mais conjuntos de permissões

    nota

    Se você não criou o conjunto de permissões desejado antes de iniciar esse procedimento, escolha Criar conjunto de permissões e siga as etapas em Criar um conjunto de permissões. Depois de criar os conjuntos de permissões que você deseja aplicar, no console do IAM Identity Center, retorne a Contas da AWS e siga as instruções até chegar à Etapa 2: Selecionar conjuntos de permissões. Ao chegar a essa etapa, selecione os novos conjuntos de permissões que você criou e vá para a próxima etapa desse procedimento.

    Depois de confirmar que os conjuntos de permissões corretos foram selecionados, escolha Avançar.

  7. Na Etapa 3: Revisar e enviar, na página Revisar e enviar exercícios para "AWS-account-name, faça o seguinte:

    1. Revise os grupos e os conjuntos de permissões selecionados.

    2. Depois de confirmar que os grupos e conjuntos de permissões corretos estão selecionados, escolha Enviar.

      Importante

      O processo de atribuição de grupo pode levar alguns minutos para ser concluído. Mantenha a página aberta até que o processo seja concluído com êxito.

      nota

      Talvez seja necessário conceder permissões aos usuários ou grupos para operar na conta de gerenciamento AWS Organizations. Por ser uma conta altamente privilegiada, restrições de segurança adicionais exigem que você tenha a política IamFullAccess ou permissões equivalentes antes de poder configurá-la. Essas restrições adicionais de segurança não são necessárias para nenhuma conta-membro em sua organização AWS.

Como alternativa, você pode usar o AWS CloudFormation para criar e atribuir conjuntos de permissões e atribuir usuários a esses conjuntos de permissões. Os usuários podem então entrar no portal de acesso da AWS ou usar os comandos da AWS Command Line Interface (AWS CLI).