创建、管理和删除权限集

以预定义的权限集为起点

使用使用预定义权限的预定义权限集，您可以从可用策略列表中选择单个 AWS 托管策略。每项策略都授予对 AWS 服务和资源的特定级别的访问权限或对常见工作职能的权限。有关每项策略的信息，请参阅针对工作职能的AWS 管理型策略。收集使用情况数据后，您可以细化权限集，使其更具有限制性。

将管理会话的持续时间限制在合理的工作时间段内

当用户联合到他们的 AWS 账户 并使用 AWS Management Console 或 AWS 命令行界面 (AWS CLI) 时，Ident IAM ity Center 会使用权限集上的会话持续时间设置来控制会话的持续时间。当用户会话达到会话持续时间时，他们将退出控制台，并被要求重新登录。作为最佳安全做法，我们建议您设置的会话持续时间长度不要超过执行角色所需的时间。默认情况下，会话持续时间的值为一个小时。可以指定的最大值为 12 小时。有关更多信息，请参阅 将会话持续时间设置为 AWS 账户。

限制员工用户门户的会话持续时间

员工用户使用门户会话来选择角色和访问应用程序。默认情况下，“最大会话持续时间” 的值为八小时，该值决定了员工用户在必须重新进行身份验证之前可以登录 AWS 访问门户的时间长度。可以将最大值指定为 90 天。有关更多信息，请参阅 配置 AWS 访问门户和 IAM Identity Center 集成应用程序的会话持续时间。

使用提供最低权限的角色

您创建并分配给用户的每个权限集在 AWS 访问门户中显示为可用角色。当您以该用户身份登录门户时，请选择与可用于在帐户中执行任务的最严格的权限集相对应的角色，而不是 AdministratorAccess。在发送用户邀请之前，请测试您的权限集，验证其是否提供了必要的访问权限。