本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
委派谁可以为管理账号中的用户和组分配单点登录访问权限
使用 IAM Identity Center 控制台为主帐户分配单点登录访问管理帐户的权限。默认情况下,只有一个 AWS 账户根用户 或一个拥有 AWSSSOMasterAccountAdministrator 和 IAMFullAccess AWS 附加的托管策略可以为管理账户分配单点登录访问权限。这些区域有:AWSSSOMasterAccountAdministrator 和 IAMFullAccess策略管理对 AWS Organizations 组织内管理帐户的单点登录访问权限。
或者,您可以使用 AWS CLI 创建权限集、将策略附加到权限集和分配权限集。以下列出了每个步骤的命令:
-
要创建权限集,请执行以下操作:create-permission-set
-
要附上 AWS Managed Policy 到权限集:attach-managed-policy-to- 权限集
-
要将客户托管策略附加到权限集,请执行以下操作:attach-customer-managed-policy-to-permission-set
-
要将权限集分配给委托人,请执行以下操作:create-account-assignment
使用以下步骤委派权限来管理您的目录中用户和组的单点登录访问权限。
授予权限来管理您的目录中的用户和组的单点登录访问权限
-
以管理帐户的根用户身份或具有管理员权限的另一个管理用户的身份登录到 IAM Identity Center 控制台。
-
按照 创建权限集 中的步骤创建权限集,然后执行以下操作:
-
在创建新权限集页面上,选中创建自定义权限集复选框,然后选择下一步:详细信息。
-
在“创建新权限集”页面上,指定自定义权限集的名称和描述(可选)。如有需要,可以修改会话持续时间并指定中继状态 URL。
注意
对于中继状态 URL,必须指定位于 AWS Management Console中的 URL 。例如:
https://console.aws.amazon.com/ec2/有关更多信息,请参阅 设置中继状态以便快速访问 AWS Management Console。
-
在您要在权限集中包含哪些策略?下,选中附加 AWS 管理型策略复选框。
-
在 IAM 策略列表中,同时选择 AWSSSOMasterAccountAdministrator 和 IAMFullAccess AWS 托管策略。这些策略向以后将拥有此权限集的访问权限的任何用户和组授予权限。
-
选择下一步:标签。
-
在添加标签(可选)下,指定密钥和值(可选)的值,然后选择下一步:查看。有关标签的更多信息,请参阅 为资源添加标签 AWS IAM Identity Center。
-
检查您的选择,然后选择创建。
-
-
按照 将用户访问权限分配给 AWS 账户 中的步骤将相应的用户和组分配给您刚刚创建的权限集。
-
向已分配的用户传送以下信息:当已分配的用户登录 AWS 访问门户并选择账户选项卡时,必须选择适当的角色名以使用刚委派的权限进行身份验证。
