为IAM身份中心用户分配 AWS 账户 访问权限 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为IAM身份中心用户分配 AWS 账户 访问权限

要为 Ident IAM ity Center 用户设置 AWS 账户 访问权限,必须将该用户分配到 AWS 账户 和权限集。

  1. 请执行以下任一操作,登录 AWS Management Console。

    • AWS (root 用户)新手 — 以账户所有者的身份登录,方法是选择 Root 用户并输入您的 AWS 账户 电子邮件地址。在下一页上,输入您的密码。

    • 已在使用 AWS (IAM凭据)-使用具有管理权限的IAM凭据登录。

  2. 打开IAM身份中心控制台

  3. 在导航窗格中的多帐户权限下,选择 AWS 账户

  4. AWS 账户 页面上,将显示贵组织的树状视图列表。选中要为其分配访问权限的 AWS 账户 旁边的复选框。如果您要为 Ident IAM ity Center 设置管理访问权限,请选中管理帐户旁边的复选框。

  5. 选择分配用户或组

  6. 对于步骤 1:选择用户和群组,在 “将用户和群组分配给”AWS 账户 name页面,请执行以下操作:

    1. 用户选项卡上,选择要向其授予管理权限的用户。

      要筛选结果,请开始在搜索框中键入所需用户的姓名。

    2. 确认选择正确的用户后,选择下一步

  7. 对于步骤 2:选择权限集,在 “将权限集分配给”AWS 账户 name页面,在 “权限集” 下,选择一个权限集以定义用户和组对此权限的访问级别 AWS 账户。

  8. 选择下一步

  9. 对于第 3 步:审阅并提交,在 “审阅” 中将作业提交给”AWS 账户 name页面,请执行以下操作:

    1. 查看选定的用户和权限集。

    2. 确认向权限集分配了正确的用户后,选择 “提交”。

      重要

      用户分配过程可能需要几分钟才能完成。等到此过程成功完成再关闭该页面。

  10. 如果以下任一情况适用,请按照中的提示用户输入 MFA步骤MFA为IAM身份中心启用:

    • 您正在使用默认的 Identity Center 目录作为身份源。

    • 您使用的是 A AWS Managed Microsoft AD ctive Directory 中的目录或自我管理目录作为身份源,但未RADIUSMFA与一起 AWS Directory Service使用。

    注意

    如果您使用的是外部身份提供商,请注意由外部 IdP(而非IAM身份中心)管理MFA设置。MFAin IAM In Identity Center 不支持外部使用 IdPs。

当您为管理用户设置帐户访问权限时,Ident IAM ity Center 会创建相应的IAM角色。此角色由 Ident IAM ity Center 控制 AWS 账户,在相关角色中创建,权限集中指定的策略将附加到该角色。