本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 启用对新 AMS 工具账户的访问权限 创建工具账户后,AMS 会为您提供账户 ID。下一步是配置对新账户的访问权限。执行以下步骤。 1. 将相应的 Active Directory 组更新为相应的帐户 IDs。 AMS 创建的新账户将配置 ReadOnly 角色策略以及允许用户申报的角色。 RFCs Tools 账户还有一个额外的 IAM 角色和用户可用: + IAM 角色:`AWSManagedServicesMigrationRole` + IAM 用户:`customer_cloud_endure_user` 1. 请求策略和角色以允许服务集成团队成员设置更高级别的工具。 导航到 AMS 控制台并归档以下内容 RFCs: 1. 创建 KMS 密钥。使用[创建 KMS 密钥 (auto)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) 或[创建 KMS 密钥(托管自动化)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html)。 当您使用 KMS 加密提取的资源时,使用与其余多账户着陆区应用程序账户共享的单个 KMS 密钥可以为摄取的图像提供安全保护,这些图像可以在目标账户中解密。 1. 共享 KMS 密钥。 使用管理 \$1 高级堆栈组件 \$1 KMS 密钥 \$1 共享(托管自动化)更改类型 (ct-05yb337abq3x5) 请求将新的 KMS 密钥共享给已提取的应用程序账户。 AMIs 最终账户设置的示例图: ![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/WIGS_Account_ExpandedV1.png)