创建权限集 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建权限集

使用此过程创建使用单个 AWS 管理型策略的预定义权限集,或者创建使用多达 10 个 AWS 管理型策略或客户管理型策略和内联策略的自定义权限集。您可以在 S ervice Quotas 控制台中申请调整 10 个策略的最大数量IAM。

您可以在 Ident IAM ity Center 控制台中创建权限集。

创建权限集

  1. 打开IAM身份中心控制台

  2. 多帐户权限下,选择权限集

  3. 选择 Create permission set (创建权限集合)

  4. 选择权限集类型页面的权限集类型下,选择权限集类型。

  5. 根据权限集类型,选择一个或多个要用于权限集的策略:

    • 预定义的权限集

      1. 在 “预定义权限集的策略” 下,选择列表中的一个 IAM Job 职能策略通用权限策略,然后选择 “下一步”。有关更多信息,请参阅 AWS Identity and Access Management 用户指南 中的 工作职能的AWS 管理型策略AWS 管理型策略

      2. 转至步骤 6,完成指定权限集详细信息页面。

    • 自定义权限集

      1. 选择下一步

      2. 在 “指定策略和权限边界” 页面上,选择要应用于新权限集的IAM策略类型。默认情况下,您可以将多达 10 个 AWS 管理型策略客户管理型策略的任意组合添加到您的权限集中。此配额由设定IAM。要提高IAM配额,请在 Service Quotas 控制台中请求增加您要分配权限集的每个IAM AWS 账户 角色的配额托管策略

        • 展开AWS 托管策略以添加来自IAM该 AWS 版本和维护版本的策略。有关更多信息,请参阅 AWS 托管策略

          1. 在权限集中搜索并选择要应用于用户的 AWS 管理型策略

          2. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步。转至步骤 6,完成指定权限集详细信息页面。

        • 展开客户托管策略,添加您根据IAM自己构建和维护的策略。有关更多信息,请参阅 客户托管策略

          1. 选择附加策略,然后输入要添加到权限集的策略的名称。在要向其分配权限集的每个帐户中,使用您输入的名称创建策略。最佳做法是为每个帐户中的策略分配相同的权限。

          2. 选择附加更多以添加其他策略。

          3. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步。转至步骤 6,完成指定权限集详细信息页面。

        • 展开内联策略以添加自定义JSON格式的策略文本。内联策略与现有IAM资源不对应。要创建内联策略,请在提供的表单中输入自定义策略语言。 IAMIdentity Center 会将该策略添加到它在您的成员账户中创建的IAM资源中。有关更多信息,请参阅 内联策略

          1. 在交互式编辑器中将所需操作和资源添加到内联策略中。可以使用添加新语句添加其他语句。

          2. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步。转至步骤 6,完成指定权限集详细信息页面。

        • 展开权限边界,将 AWS 托管IAM策略或客户托管策略添加为权限集中的其他策略可以分配的最大权限。有关更多信息,请参阅 权限边界

          1. 选择使用权限边界控制最大权限

          2. 选择AWS 托管策略来设置一个策略IAM,该策略将从中AWS生成和维护作为您的权限边界。选择客户托管策略来设置一个由IAM构建和维护的策略作为权限边界。

          3. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步。转至步骤 6,完成指定权限集详细信息页面。

  6. 指定权限集详细信息 页面中,请执行以下操作:

    1. 在 “权限集名称” 下,键入一个名称以在 Identity Center 中IAM标识此权限集。您为此权限集指定的名称作为可用角色出现在 AWS 访问门户中。用户登录 AWS 访问门户,选择一个 AWS 账户,然后选择角色。

    2. (可选)您也可以键入描述。描述仅显示在 Ident IAM ity Center 控制台中,不显示在 AWS 访问门户中。

    3. (可选)指定会话持续时间的值。该值确定用户在控制台注销其会话之前可以登录的时间长度。有关更多信息,请参阅 将会话持续时间设置为 AWS 账户

    4. (可选)指定中继状态的值。此值在联合身份验证过程中用于重定向帐户中的用户。有关更多信息,请参阅 设置中继状态以便快速访问 AWS Management Console

      注意

      中继状态URL必须在 AWS Management Console。例如:

      https://console.aws.amazon.com/ec2/

    5. 展开标签(可选),选择添加标签,然后为密钥值(可选)指定值。

      有关标签的信息,请参阅 为 AWS IAM Identity Center 资源添加标签

    6. 选择下一步

  7. 查看并创建页面上,查看您所做的选择,然后选择创建

  8. 默认情况下,当您创建权限集时,不会配置该权限集(用于任何权限集 AWS 账户)。要在中配置权限集 AWS 账户,必须为账户中的用户和群组分配 Ident IAM ity Center 访问权限,然后将该权限集应用于这些用户和群组。有关更多信息,请参阅 将用户访问权限分配给 AWS 账户