本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用默认 IAM Identity Center 目录配置用户访问权限
首次启用 IAM Identity Center 后,它会自动配置 Identity Center 目录作为您的默认身份源,因此您无需选择身份源。如果您的组织使用其他身份提供商,例如 AWS Directory Service for Microsoft Active Directory、Microsoft Entra ID 或 Okta,请考虑将该身份源与 IAM Identity Center 集成,而不是使用默认配置。
目标
在本教程中,您将使用默认目录作为身份源,并设置和测试用户访问权限。在此方案中,您将在 IAM Identity Center 管理所有用户和组。通过 AWS 访问门户登录。本教程适用于刚接触 IAM AWS 或一直在使用 IAM 管理用户和组的用户。在接下来的步骤中,您将创建以下内容:
-
名为
Nikki Wolf
的管理用户 -
名为
Admin team
的组 -
名为
AdminAccess
的权限集
要验证所有内容是否均已正确创建,您需要登录并设置管理用户的密码。完成本教程后,您可以使用此管理用户在 IAM Identity Center 中添加更多用户、创建其他权限集以及设置对应用程序的组织访问权限。
如果您尚未启用 IAM Identity Center,请参阅 启用 AWS IAM Identity Center。
请执行以下任一操作,登录 AWS Management Console。
-
AWS 新用户(根用户)– 通过选择 AWS 账户 根用户并输入您的 AWS 账户 电子邮件地址,以账户所有者身份登录。在下一页,输入您的密码。
-
已经在使用 AWS(IAM 凭证)– 使用具有管理权限的 IAM 凭证登录。
-
在 IAM Identity Center 导航窗格,选择用户,然后选择添加用户。
-
在指定用户详细信息页面,填写以下信息:
-
用户名 - 在本教程中,输入
nikkiw
。创建用户时,请选择易于记忆的用户名。用户必须记住用户名才能登录 AWS 访问门户,您此后无法更改该用户名。
-
密码 - 选择向该用户发送包含密码设置说明的电子邮件(推荐)。
此选项会向用户发送一封来自 Amazon Web Services 的电子邮件,主题行为邀请加入 IAM Identity Center。电子邮件发自
no-reply@signin.aws
或no-reply@login.awsapps.com
。将这些电子邮件地址添加到您允许的发件人列表中。 -
电子邮件地址 - 输入用户电子邮件地址,您可以通过该地址接收电子邮件。然后,再次输入以确认。每个用户的电子邮件地址必须唯一。
-
名字 - 输入用户的名字。在本教程中,请输入
Nikki
。 -
姓氏 - 输入用户姓氏。在本教程中,请输入
Wolf
。 -
显示名称 - 默认值为用户的名字和姓氏。如果要更改显示名称,可以输入不同的名称。显示名称会显示在登录门户和用户列表中。
-
如果需要,请填写可选信息。本教程不会用到它们,您可以稍后更改。
-
-
选择下一步。此时将出现将用户添加到组页面。我们将创建一个组来分配管理权限,而不是将其直接授予
Nikki
。选择创建组。
此时将打开一个新的浏览器选项卡,以显示创建组页面。
-
在组详细信息下的组名称中,输入组的名称。我们建议输入一个能表明组角色的组名称。在本教程中,请输入
Admin team
。 -
选择创建组。
-
关闭组浏览器选项卡,返回添加用户浏览器选项卡
-
-
在组区域,选择刷新按钮。
Admin team
组将显示在列表中。选中
Admin team
旁边的复选框,然后选择下一步。 -
在查看并添加用户页面,确认以下信息:
-
主要信息会按您的预期显示
-
“组”显示已添加到您创建的组中的用户
如果需要进行更改,请选择编辑。如果所有详细信息都正确,选择添加用户。
此时将显示一条通知消息,告知您用户已添加。
-
接下来,您将为 Admin team
组添加管理权限,以便 Nikki
有权访问资源。
-
在 IAM Identity Center 导航窗格的多账户权限下,选择 AWS 账户。
-
在 AWS 账户 页面,组织结构将显示您的组织,您的账户将以分层结构列于其下方。选中管理账户对应的复选框,然后选择分配用户或组。
-
此时将显示分配用户和组工作流程。它包括三个步骤:
-
对于步骤 1:选择用户和组,选择您创建的
Admin team
组。然后选择下一步。 -
对于步骤 2:选择权限集,选择创建权限集,以打开新的标签页,它将引导您完成创建权限集所涉及的三个子步骤。
-
对于步骤 1:选择权限集类型,请完成以下操作:
-
在权限集类型中,选择预定义权限集。
-
在预定义权限集策略中,选择 AdministratorAccess。
选择下一步。
-
-
对于步骤 2:指定权限集详细信息,保留默认设置,并选择下一步。
默认设置会创建一个名为
AdministratorAccess
的权限集,其会话持续时间设置为一小时。在权限集名称字段中输入新名称,即可更改权限集的名称。 -
对于步骤 3:查看和创建,请验证权限集类型是否使用 AWS 托管策略 AdministratorAccess。选择创建。权限集页面会显示通知,告知您权限集已创建。您可以在网络浏览器中关闭此标签页。
在分配用户和组浏览器标签页,您仍处于步骤 2:选择权限集,您将在这里启动创建权限集工作流程。
在权限集区域,选择刷新按钮。您创建的
AdministratorAccess
权限集将出现在列表中。选择该权限集的复选框,然后选择下一步。 -
-
在步骤 3:查看并提交分配页面,确认已选择
Admin team
组和AdministratorAccess
权限集,然后选择提交。页面会更新,显示一条消息,告知您正在配置 AWS 账户。等待该过程完成。
您将返回到 AWS 账户 页面。一条通知消息会告知您,已重新预置了您的 AWS 账户,并应用了更新的权限集。
-
恭喜您!
您已成功设置第一个用户、组和权限集。
在本教程的下一部分,您将使用 Nikki
的管理凭证登录 AWS 访问门户以测试其访问权限,并为其设置密码。现在,注销控制台。
现在,Nikki Wolf
已成为您组织中的用户,可以登录并根据权限集访问其有权访问的资源。要验证用户配置是否正确,在下一步中,您将使用 Nikki
的凭证登录,并为其设置密码。在步骤 1 中添加用户 Nikki Wolf
时,您选择让 Nikki
接收包含密码设置说明的电子邮件。现在,您可以打开该电子邮件,并执行以下操作:
-
在电子邮件中,选择接受邀请链接,以接受邀请。
注意
该电子邮件还包含
Nikki
的用户名以及用于登录组织的 AWS 访问门户 URL。记录这些信息,以供将来使用。您将转到新用户注册页面,您可以在其中设置
Nikki
的密码。 -
设置
Nikki
的密码后,您将转到登录页面。输入nikkiw
,选择下一步,然后输入Nikki 的
密码,选择登录。 -
AWS 访问门户将打开,显示您可以访问的组织和应用程序。
选择组织,将其展开为 AWS 账户 列表,然后选择账户,以显示可以用来访问该账户中资源的角色。
每个权限集都有两种管理方法可供使用,即角色和访问密钥。
-
角色(例如
AdministratorAccess
):打开 AWS Console Home。 -
访问密钥:提供可用于 AWS CLI 或/和 AWS SDK 的凭证。包含会自动刷新的短期凭证或短期访问密钥的使用信息。有关更多信息,请参阅 获取 AWS CLI 或 AWS 软件开发工具包 (SDK) 的 IAM Identity Center 用户证书。
-
-
选择角色链接登录 AWS Console Home。
您已登录并导航到 AWS Console Home 页面。浏览控制台,并确认您拥有预期的访问权限。
现在,您已经在 IAM Identity Center 创建了管理用户,您可以:
您的用户接受邀请激活账户,并登录 AWS 访问门户后,门户中显示的项目仅限于为其分配的 AWS 账户、角色和应用程序。
重要
我们建议您对用户启用多重身份验证 (MFA)。有关更多信息,请参阅 Identity Center 用户的多重身份验证。