本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在权限集中使用IAM策略
在 创建权限集 中,您学习了如何向权限集添加策略,包括客户管理型策略和权限边界。当您将客户托管的策略和权限添加到权限集时,Ident IAM ity Center 不会在任何权限集中创建策略 AWS 账户。相反,您必须在要分配权限集的每个帐户中提前创建这些策略,并将它们与权限集的名称和路径规范相匹配。当您向组织 AWS 账户 中的某人分配权限集时,Ident IAM ity Center 会创建一个 AWS Identity and Access Management (IAM) 角色并将您的IAM策略附加到该角色。
注意
在为权限集分配IAM策略之前,必须准备好您的成员账户。您的成员账户中的IAM保单名称必须与您的管理账户中的保单名称一致。 IAM如果您的成员账户中不存在权限集,Identity Center 将无法分配权限集。
策略授予的权限不必在帐户之间完全匹配。
为权限集分配IAM策略
-
在要分配权限集的每个 AWS 账户 位置中创建IAM策略。
-
为IAM策略分配权限。您可以在不同的帐户中分配不同的权限。为了获得一致的体验,请在每个策略中配置和维护相同的权限。您可以使用自动化资源,例如 AWS CloudFormation StackSets 在每个成员账户中创建具有相同名称和权限的IAM策略副本。有关的更多信息 CloudFormation StackSets,请参阅《AWS CloudFormation 用户指南》 AWS CloudFormation StackSets中的 “使用”。
-
在您的管理账户中创建权限集,然后将您的IAM策略添加到 “客户托管策略” 或 “权限边界” 下。有关如何创建权限集的更多详细信息,请参阅 创建权限集。
-
添加您准备的所有内联策略、 AWS 托管IAM策略或其他策略。
-
创建并分配您的权限集。
