

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为用户或群组分配访问权限 AWS 账户
<a name="assignusers"></a>

使用以下过程为已连接目录中的用户和组分配单点登录访问权限，并使用权限集确定其访问级别。

要查看现有用户和组的访问权限，请参阅[查看和更改权限集](howtoviewandchangepermissionset.md)。

**注意**  
为了简化访问权限的管理，建议您直接向组（而非各个用户）分配访问权限。通过组，您可以授予或拒绝用户组的权限，而不是必须为每个用户应用这些权限。如果用户移动到不同的组织，您只需将该用户移动到不同的组，他们会自动接收新组织所需的权限。

**为用户或组分配访问权限 AWS 账户**

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
**注意**  
确保 IAM Identity Center 控制台使用的区域是您的 AWS Managed Microsoft AD 目录所在的区域，然后再继续执行下一步骤。

1. 在导航窗格中的**多帐户权限**下，选择 **AWS 账户**。

1. 在 **AWS 账户** 页面上，将显示贵组织的树状视图列表。选中要为其分配访问权限的 AWS 账户 旁边的复选框。如果您要为 IAM Identity Center 设置管理访问权限，请选中管理账户旁边的复选框。
**注意**  
向用户和群组分配单点登录访问权限时，每个权限集一次最多可以选择 10 AWS 账户 个。要向同一组用户和组分配 10 个 AWS 账户 以上的用户，请根据需要为其他帐户重复此过程。出现提示时，选择相同的用户、组和权限集。

1. 选择**分配用户或组**。

1. 对于 “**步骤 1：选择用户和组**”，在 “**将用户和组分配给*AWS-account-name*”** 页面上，执行以下操作：

   1. 在**用户**选项卡上，选择一个或多个要向其授予单点登录访问权限的用户。

      要筛选结果，请开始在搜索框中键入所需用户的名称。

   1. 在**组**选项卡上，选择一个或多个要向其授予单点登录访问权限的组。

      要筛选结果，请开始在搜索框中键入所需组的名称。

   1. 要显示您选择的用户和组，请选择**选定的用户和组**旁边的横向三角形。

   1. 确认选择了正确的用户和组后，选择**下一步**。

1. 对于 “**步骤 2：选择权限集**”，在 “**将权限集分配给*AWS-account-name*”** 页面上，执行以下操作：

   1. 选择一个或多个权限集。如有需要，您可以创建和选择新的权限集。
      + 要选择一个或多个现有权限集，请在**权限集**下，选择要应用于在上一步中选择的用户和组的权限集。
      + 要创建一个或多个新权限集，请选择**创建权限集**，然后按照 [创建权限集](howtocreatepermissionset.md) 中的步骤操作。创建要应用的权限集后，在 IAM Identity Center 控制台中，返回到 **AWS 账户** 并按照说明进行操作，直到进入**步骤 2：选择权限集**。完成此步骤后，选择您创建的新权限集，然后继续执行此过程的下一步。

   1. 确认选择了正确的权限集后，选择**下一步**。

1. 对于**步骤 3：审阅并提交**，在 “**查看并提交作业*AWS-account-name*”** 页面上，执行以下操作：

   1. 查看选定的用户、组和权限集。

   1. 确认选择了正确的用户、组和权限集之后，选择**提交**。

**注意事项**
   + 用户和组的分配过程可能需要几分钟才能完成。等到此过程成功完成再关闭该页面。
   + 
**注意**  
您可能需要向用户或群组授予使用 AWS Organizations 管理账户进行操作的权限。由于它是高权限帐户，因此其他安全限制要求您先拥有[IAMFull访问](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess)策略或同等权限，然后才能进行设置。您 AWS 组织中的任何成员账户都不需要这些额外的安全限制。

1. 如果符合以下任一条件，请按照 [提示用户完成 MFA](mfa-getting-started.md) 中的步骤为 IAM Identity Center 启用 MFA：
   + 您正在使用默认的 Identity Center 目录作为身份源。
   + 您使用的是 Active Directory 中的 AWS Managed Microsoft AD 目录或自管理目录作为身份源，但没有将 RADIUS M AWS Directory Service FA 与一起使用。
**注意**  
如果您正在使用外部身份提供者，请注意由外部 IdP（而不是 IAM Identity Center）管理 MFA 设置。外部不支持使用 IAM 身份中心中的 MFA。 IdPs

当您为管理用户设置帐户访问权限时，IAM Identity Center 会创建相应的 IAM 角色。此角色由 IAM Identity Center 控制 AWS 账户，在相关版本中创建，权限集中指定的策略将附加到该角色。

或者，您可以使用 [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html) 创建和分配权限集，并将这些权限集分配给用户。然后，用户可以[登录 AWS 访问门户](howtosignin.md)或使用 [AWS Command Line Interface （AWS CLI）](https://docs.aws.amazon.com/singlesignon/latest/userguide/integrating-aws-cli.html)命令。