创建权限集 - AWS IAM Identity Center

创建权限集

使用此过程创建使用单个 AWS 管理型策略的预定义权限集,或者创建使用多达 10 个 AWS 管理型策略或客户管理型策略和内联策略的自定义权限集。您可以在 IAM 的 服务限额控制台中请求调整 10 个策略的最大数量。

您可以在 IAM Identity Center 控制台中创建权限集。

创建权限集

  1. 打开 IAM Identity Center 控制台

  2. 多帐户权限下,选择权限集

  3. 选择 Create permission set (创建权限集合)

  4. 选择权限集类型页面的权限集类型下,选择权限集类型。

  5. 根据权限集类型,选择一个或多个要用于权限集的策略:

    • 预定义的权限集

      1. 预先定义的权限集的策略下,从列表选择一项 IAM 工作职能策略通用权限策略,然后选择下一步。有关更多信息,请参阅 AWS Identity and Access Management用户指南 中的 工作职能的AWS管理型策略AWS管理型策略

      2. 转至步骤 6,完成指定权限集详细信息页面。

    • 自定义权限集

      1. 选择下一步

      2. 指定策略和权限边界页面上,选择要应用于新权限集的 IAM 策略类型。默认情况下,您可以将多达 10 个 AWS 管理型策略客户管理型策略的任意组合添加到您的权限集中。此限额由 IAM 设置。要提高该限额,请在您要分配权限集的每个 AWS 账户 的服务限额控制台中请求增加 IAM 限额附加到 IAM 角色的管理型策略

        • 扩展 AWS 管理型策略以添加 AWS 构建和维护的 IAM 策略。有关更多信息,请参阅 AWS 管理型策略

          1. 在权限集中搜索并选择要应用于用户的 AWS 管理型策略

          2. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步。转至步骤 6,完成指定权限集详细信息页面。

        • 扩展客户管理型策略以添加您构建和维护的 IAM 中的策略。有关更多信息,请参阅 客户托管策略

          1. 选择附加策略,然后输入要添加到权限集的策略的名称。在要向其分配权限集的每个帐户中,使用您输入的名称创建策略。最佳做法是为每个帐户中的策略分配相同的权限。

          2. 选择附加更多以添加其他策略。

          3. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步。转至步骤 6,完成指定权限集详细信息页面。

        • 展开内联策略,添加自定义 JSON 格式的策略文本。内联策略与现有的 IAM 资源不对应。要创建内联策略,请在提供的表单中输入自定义策略语言。IAM Identity Center 会将策略添加到它在您的成员帐户中创建的 IAM 资源中。有关更多信息,请参阅 内联策略

          1. 在交互式编辑器中将所需操作和资源添加到内联策略中。可以使用添加新语句添加其他语句。

          2. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步。转至步骤 6,完成指定权限集详细信息页面。

        • 展开权限边界,将 AWS 托管型或客户管理型 IAM 策略添加为权限集中的其他策略可以分配的最大权限。有关更多信息,请参阅 权限边界

          1. 选择使用权限边界控制最大权限

          2. 选择 AWS 管理型策略来设置来自 IAM 的策略,该策略将 AWS 构建和维护作为您的权限边界。选择客户管理型策略,从 IAM 中设置一个由构建和维护的策略作为权限边界。

          3. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步。转至步骤 6,完成指定权限集详细信息页面。

  6. 指定权限集详细信息 页面中,请执行以下操作:

    1. 权限集名称 下,键入一个名称以在 IAM Identity Center 中标识此权限集。您为此权限集指定的名称将作为可用角色出现在 AWS 访问门户中。用户登录 AWS 访问门户,选择一个 AWS 账户,然后选择角色。

    2. (可选)您也可以键入描述。描述仅显示在 IAM Identity Center 控制台中,不显示在 AWS 访问门户中。

    3. (可选)指定会话持续时间的值。该值确定用户在控制台注销其会话之前可以登录的时间长度。有关更多信息,请参阅 设置 AWS 账户 的会话持续时间

    4. (可选)指定中继状态的值。此值在联合身份验证过程中用于重定向帐户中的用户。有关更多信息,请参阅 设置中继状态以便快速访问 AWS Management Console

      注意

      中继状态 URL 必须在 AWS Management Console 中。例如:

      https://console.aws.amazon.com/ec2/

    5. 展开标签(可选),选择添加标签,然后为密钥值(可选)指定值。

      有关标签的信息,请参阅 为 AWS IAM Identity Center 资源添加标签

    6. 选择下一步

  7. 查看并创建页面上,查看您所做的选择,然后选择创建

  8. 默认情况下,当您创建权限集时,不会配置该权限集(用于任何 AWS 账户 中)。要在 AWS 账户 中配置权限集,您必须为帐户中的用户和组分配 IAM Identity Center 访问权限,然后将该权限集应用于这些用户和组。有关更多信息,请参阅 单点登录访问 AWS 账户