本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在权限集中使用 IAM 策略
<a name="howtocmp"></a>

在 [创建权限集](howtocreatepermissionset.md) 中，您学习了如何向权限集添加策略，包括客户管理型策略和权限边界。当您将客户管理型策略和权限添加到权限集时，IAM Identity Center 不会在任何 AWS 账户中创建策略。相反，您必须在要分配权限集的每个帐户中提前创建这些策略，并将它们与权限集的名称和路径规范相匹配。当您将权限集分配给组织 AWS 账户 中的时，IAM Identity Center 会创建一个 [AWS Identity and Access Management (IAM) 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)并将您[的 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)附加到该角色。

**注意事项**
+ 要使用权限集，您将需要使用 IAM Identity Center 的组织实例。有关更多信息，请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
+ 在使用 IAM policy 分配权限集之前，您必须准备好您的成员帐户。成员账户中的 IAM 策略名称必须与管理账户中的策略名称相符。如果您的成员帐户中不存在权限集，IAM Identity Center 将无法分配权限集。
**注意**  
当客户管理型策略附加到权限集时，策略名称不区分大小写。
+ 策略授予的权限不必在账户之间完全匹配。

# 将 IAM 策略分配给权限集


1. 在您要分配权限集的每个 AWS 账户 位置中创建一个 IAM 策略。

1. 向 IAM policy 分配权限。您可以在不同的帐户中分配不同的权限。为了获得一致的体验，请在每个策略中配置和维护相同的权限。您可以使用自动化资源，例如 AWS CloudFormation StackSets 在每个成员账户中创建具有相同名称和权限的 IAM 策略的副本。有关的更多信息 CloudFormation StackSets，请参阅《*AWS CloudFormation 用户指南》 AWS CloudFormation StackSets*中的 “[使用](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)”。

1. 在您的管理帐户中创建权限集，并在**客户管理型策略**或**权限边界**下添加您的 IAM policy。有关如何创建权限集的更多详细信息，请参阅 [创建权限集](howtocreatepermissionset.md)。

1. 添加您准备的所有内联策略、 AWS 管理型策略或其他 IAM policy。

1. 创建并分配您的权限集。