本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 AWS Control Tower 的 IAM 身份中心群组
AWS Control Tower 提供预配置的群组,用于组织在您的账户中执行特定任务的用户。您可以直接在 IAM Identity Center 中添加用户并将其分配到这些群组。这样做会将权限集与账户中的组用户进行匹配。在设置 landing zone 时,会创建以下群组。
AWSAccountFactory
| 账户 |
权限集 |
描述 |
| 管理账户 |
AWSServiceCatalogEndUserAccess |
此组仅用于此账户中使用 Account Factory 配置新账户。 |
AWSServiceCatalogAdmins
| 账户 |
权限集 |
描述 |
| 管理账户 |
AWSServiceCatalogAdminFullAccess |
该组仅在该账户中用于对 Account Factory 进行管理更改。除非该群组中的用户也加入群AWSAccountFactory组,否则他们无法配置新帐户。 |
AWSControlTowerAdmins
| 账户 |
权限集 |
描述 |
| 管理账户 |
AWSAdministratorAccess |
该账户中该群组的用户是唯一有权访问 AWS Control Tower 控制台的用户。 |
| 日志存档账户 |
AWSAdministratorAccess |
用户拥有此账户的管理员访问权限。 |
| 审计账户 |
AWSAdministratorAccess |
用户拥有此账户的管理员访问权限。 |
| 成员账户 |
AWSOrganizationsFullAccess |
用户在此账户中拥有对 Organizations 的完全访问权限。 |
AWSSecurityAuditPowerUsers
| 账户 |
权限集 |
描述 |
| 管理账户 |
AWSPowerUserAccess |
用户可以执行应用程序开发任务,也可以创建和配置支持有 AWS 意识的应用程序开发的资源和服务。 |
| 日志存档账户 |
AWSPowerUserAccess |
用户可以执行应用程序开发任务,也可以创建和配置支持有 AWS 意识的应用程序开发的资源和服务。 |
| 审计账户 |
AWSPowerUserAccess |
用户可以执行应用程序开发任务,也可以创建和配置支持有 AWS 意识的应用程序开发的资源和服务。 |
| 成员账户 |
AWSPowerUserAccess |
用户可以执行应用程序开发任务,也可以创建和配置支持有 AWS 意识的应用程序开发的资源和服务。 |
AWSSecurityAuditors
| 账户 |
权限集 |
描述 |
| 管理账户 |
AWSReadOnlyAccess |
用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 |
| 日志存档账户 |
AWSReadOnlyAccess |
用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 |
| 审计账户 |
AWSReadOnlyAccess |
用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 |
| 成员账户 |
AWSReadOnlyAccess |
用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 |
AWSLogArchiveAdmins
| 账户 |
权限集 |
描述 |
| 日志存档账户 |
AWSAdministratorAccess |
用户拥有此账户的管理员访问权限。 |
AWSLogArchiveViewers
| 账户 |
权限集 |
描述 |
| 日志存档账户 |
AWSReadOnlyAccess |
用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 |
AWSAuditAccountAdmins
| 账户 |
权限集 |
描述 |
| 审计账户 |
AWSAdministratorAccess |
用户拥有此账户的管理员访问权限。 |
