本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
委派管理
委派管理为注册成员帐户中的分配用户提供了一种便捷的方式,来执行大多数 IAM Identity Center 管理任务。启用 IAM Identity Center 时, AWS Organizations 默认情况下,将在中的管理账户中创建您的 IAM 身份中心实例。最初是这样设计的,以便 IAM Identity Center 可以在组织的所有成员帐户中配置、取消配置和更新角色。尽管您的 IAM Identity Center 实例必须始终位于管理账户中,但您可以选择将 IAM Identity Center 的管理委托给中的成员账户 AWS Organizations,从而扩展从管理账户之外管理 IAM Identity Center 的能力。
启用委派管理具有以下优势:
-
最大限度地减少需要访问管理帐户的人员数量,以帮助缓解安全问题
-
允许选定的管理员将用户和组分配给应用程序和组织的成员帐户
有关 IAM 身份中心如何使用的更多信息 AWS Organizations,请参阅AWS 账户 访问。要了解更多信息并查看展示如何配置委派管理的公司情景的示例,请参阅AWS
安全博客中的开始使用 IAM Identity Center 委派管理
最佳实践
以下是配置委派管理之前需要考虑的一些最佳实践。
-
向管理帐户授予最小权限 – 我们知道管理帐户是一个高权限帐户,为了遵守最小权限原则,我们强烈建议您将管理帐户的访问权限限制为尽可能少的人。委派管理员功能旨在最大限度地减少需要访问管理帐户的人数。
-
创建仅在管理帐户中使用的权限集 – 这样可以更轻松地管理专为访问您的管理帐户的用户定制的权限集,并有助于将它们与您委派的管理员帐户管理的权限集区分开来。
-
考虑您的 Active Directory 位置 – 如果您计划使用 Active Directory 作为 IAM Identity Center 身份源,请在启用了 IAM Identity Center 委派管理员功能的成员帐户中找到该目录。如果您决定将 IAM Identity Center 身分来源从任何其他来源更改为 Active Directory,或者将其从 Active Directory 更改为任何其他来源,则该目录必须驻留在 IAM Identity Center 委派管理员成员帐户(如果存在)中(归该帐户所有);否则,它必须位于管理帐户中。
-
仅在管理帐户中创建用户分配 – 委派管理员无法更改管理帐户中配置的权限集。但是,委派管理员可以添加、编辑和删除组和组分配。
先决条件
在将帐户注册为委派管理员之前,必须先部署以下环境:
-
AWS Organizations 除了您的默认管理账户外,还必须启用并配置至少一个成员帐户。
-
如果您的身份源设置为 Active Directory,则必须启用 IAM Identity Center 可配置 AD 同步 功能。
