使用默认 IAM Identity Center 目录配置用户访问权限 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用默认 IAM Identity Center 目录配置用户访问权限

首次启用 IAM Identity Center 后,它会自动配置 Identity Center 目录作为您的默认身份源,因此您无需选择身份源。如果您的组织使用其他身份提供商,例如 AWS Directory Service for Microsoft Active Directory、Microsoft Entra ID 或 Okta,请考虑将该身份源与 IAM Identity Center 集成,而不是使用默认配置。

目标

在本教程中,您将使用默认目录作为身份源,并设置和测试用户访问权限。在此方案中,您将在 IAM Identity Center 管理所有用户和组。通过 AWS 访问门户登录。本教程适用于刚接触 IAM AWS 或一直在使用 IAM 管理用户和组的用户。在接下来的步骤中,您将创建以下内容:

  • 名为 Nikki Wolf 的管理用户

  • 名为 Admin team 的组

  • 名为 AdminAccess 的权限集

要验证所有内容是否均已正确创建,您需要登录并设置管理用户的密码。完成本教程后,您可以使用此管理用户在 IAM Identity Center 中添加更多用户、创建其他权限集以及设置对应用程序的组织访问权限。

如果您尚未启用 IAM Identity Center,请参阅 启用 AWS IAM Identity Center

请执行以下任一操作,登录 AWS Management Console。

  • AWS 新用户(根用户)– 通过选择 AWS 账户 根用户并输入您的 AWS 账户 电子邮件地址,以账户所有者身份登录。在下一页,输入您的密码。

  • 已经在使用 AWS(IAM 凭证)– 使用具有管理权限的 IAM 凭证登录。

打开 IAM Identity Center 控制台

  1. 在 IAM Identity Center 导航窗格,选择用户,然后选择添加用户

  2. 指定用户详细信息页面,填写以下信息:

    • 用户名 - 在本教程中,输入 nikkiw

      创建用户时,请选择易于记忆的用户名。用户必须记住用户名才能登录 AWS 访问门户,您此后无法更改该用户名。

    • 密码 - 选择向该用户发送包含密码设置说明的电子邮件(推荐)

      此选项会向用户发送一封来自 Amazon Web Services 的电子邮件,主题行为邀请加入 IAM Identity Center。电子邮件发自 no-reply@signin.awsno-reply@login.awsapps.com。将这些电子邮件地址添加到您允许的发件人列表中。

    • 电子邮件地址 - 输入用户电子邮件地址,您可以通过该地址接收电子邮件。然后,再次输入以确认。每个用户的电子邮件地址必须唯一。

    • 名字 - 输入用户的名字。在本教程中,请输入 Nikki

    • 姓氏 - 输入用户姓氏。在本教程中,请输入 Wolf

    • 显示名称 - 默认值为用户的名字和姓氏。如果要更改显示名称,可以输入不同的名称。显示名称会显示在登录门户和用户列表中。

    • 如果需要,请填写可选信息。本教程不会用到它们,您可以稍后更改。

  3. 选择下一步。此时将出现将用户添加到组页面。我们将创建一个组来分配管理权限,而不是将其直接授予 Nikki

    选择创建组

    此时将打开一个新的浏览器选项卡,以显示创建组页面。

    1. 组详细信息下的组名称中,输入组的名称。我们建议输入一个能表明组角色的组名称。在本教程中,请输入 Admin team

    2. 选择创建组

    3. 关闭浏览器选项卡,返回添加用户浏览器选项卡

  4. 区域,选择刷新按钮。Admin team 组将显示在列表中。

    选中 Admin team 旁边的复选框,然后选择下一步

  5. 查看并添加用户页面,确认以下信息:

    • 主要信息会按您的预期显示

    • “组”显示已添加到您创建的组中的用户

    如果需要进行更改,请选择编辑。如果所有详细信息都正确,选择添加用户

    此时将显示一条通知消息,告知您用户已添加。

接下来,您将为 Admin team 组添加管理权限,以便 Nikki 有权访问资源。

  1. 在 IAM Identity Center 导航窗格的多账户权限下,选择 AWS 账户

  2. AWS 账户 页面,组织结构将显示您的组织,您的账户将以分层结构列于其下方。选中管理账户对应的复选框,然后选择分配用户或组

  3. 此时将显示分配用户和组工作流程。它包括三个步骤:

    1. 对于步骤 1:选择用户和组,选择您创建的 Admin team 组。然后选择下一步

    2. 对于步骤 2:选择权限集,选择创建权限集,以打开新的标签页,它将引导您完成创建权限集所涉及的三个子步骤。

      1. 对于步骤 1:选择权限集类型,请完成以下操作:

        • 权限集类型中,选择预定义权限集

        • 预定义权限集策略中,选择 AdministratorAccess

        选择下一步

      2. 对于步骤 2:指定权限集详细信息,保留默认设置,并选择下一步

        默认设置会创建一个名为 AdministratorAccess 的权限集,其会话持续时间设置为一小时。在权限集名称字段中输入新名称,即可更改权限集的名称。

      3. 对于步骤 3:查看和创建,请验证权限集类型是否使用 AWS 托管策略 AdministratorAccess。选择创建权限集页面会显示通知,告知您权限集已创建。您可以在网络浏览器中关闭此标签页。

      分配用户和组浏览器标签页,您仍处于步骤 2:选择权限集,您将在这里启动创建权限集工作流程。

      权限集区域,选择刷新按钮。您创建的 AdministratorAccess 权限集将出现在列表中。选择该权限集的复选框,然后选择下一步

    3. 步骤 3:查看并提交分配页面,确认已选择 Admin team 组和 AdministratorAccess 权限集,然后选择提交

      页面会更新,显示一条消息,告知您正在配置 AWS 账户。等待该过程完成。

      您将返回到 AWS 账户 页面。一条通知消息会告知您,已重新预置了您的 AWS 账户,并应用了更新的权限集。

恭喜您!

您已成功设置第一个用户、组和权限集。

在本教程的下一部分,您将使用 Nikki 的管理凭证登录 AWS 访问门户以测试其访问权限,并为其设置密码。现在,注销控制台。

现在,Nikki Wolf 已成为您组织中的用户,可以登录并根据权限集访问其有权访问的资源。要验证用户配置是否正确,在下一步中,您将使用 Nikki 的凭证登录,并为其设置密码。在步骤 1 中添加用户 Nikki Wolf 时,您选择让 Nikki 接收包含密码设置说明的电子邮件。现在,您可以打开该电子邮件,并执行以下操作:

  1. 在电子邮件中,选择接受邀请链接,以接受邀请。

    注意

    该电子邮件还包含 Nikki 的用户名以及用于登录组织的 AWS 访问门户 URL。记录这些信息,以供将来使用。

    您将转到新用户注册页面,您可以在其中设置 Nikki 的密码。

  2. 设置 Nikki 的密码后,您将转到登录页面。输入 nikkiw,选择下一步,然后输入 Nikki 的密码,选择登录

  3. AWS 访问门户将打开,显示您可以访问的组织和应用程序。

    选择组织,将其展开为 AWS 账户 列表,然后选择账户,以显示可以用来访问该账户中资源的角色。

    每个权限集都有两种管理方法可供使用,即角色访问密钥

  4. 选择角色链接登录 AWS Console Home。

您已登录并导航到 AWS Console Home 页面。浏览控制台,并确认您拥有预期的访问权限。

现在,您已经在 IAM Identity Center 创建了管理用户,您可以:

您的用户接受邀请激活账户,并登录 AWS 访问门户后,门户中显示的项目仅限于为其分配的 AWS 账户、角色和应用程序。

重要

我们建议您对用户启用多重身份验证 (MFA)。有关更多信息,请参阅 Identity Center 用户的多重身份验证