本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为组分配 AWS 账户 访问权限
在 IAM Identity Center 中创建了管理用户,以及创建了用于以最低权限执行任务的额外权限集之后,你可以为用户组提供对您 AWS 账户 的访问权限。
我们建议您将访问权限直接分配给组而不是单个用户。例如,如果您基于组织单位创建组和权限集,将用户移至不同的组织单位时,您只需将该用户移至不同的组,他们将自动获得新组织单位所需的权限,并失去先前组织单位的权限。
要分配对 AWS 账户 的用户组访问权限
-
注意
如果您的身份源是 AWS Managed Microsoft AD,请确保 IAM Identity Center 控制台使用的区域是您的 AWS Managed Microsoft AD 目录所在的区域,然后再继续执行下一步骤。
-
在导航窗格中的多帐户权限下,选择 AWS 账户。
-
在 AWS 账户 页面上,将显示您的组织的树视图列表。在您要为其分配单点登录访问权限的一个或多个 AWS 账户 旁边,选中相应的复选框。
注意
您最多可以为每个权限集选择 10 个 AWS 账户。
-
选择分配用户或组。
-
对于步骤 1:选择用户和组,在将用户和组分配给“
AWS-account-name”页面,选择组选项卡,然后选择一个或多个组。要筛选结果,请开始在搜索框中键入所需组的名称。
要显示您选择的组,请选择选定的用户和组旁边的横向三角形。
确认选择了正确的组后,选择下一步。
-
对于步骤 2:选择权限集,在将权限集分配给“
AWS-account-name”页面,选择一个或多个权限集注意
如果在开始此过程之前,您没有创建所需的权限集,请选择创建权限集,然后按照 创建权限集 中的步骤进行操作。创建要应用的权限集后,在 IAM Identity Center 控制台中,返回到 AWS 账户 并按照说明进行操作,直到进入步骤 2:选择权限集。完成此步骤后,选择您创建的新权限集,然后继续执行此过程的下一步。
确认选择了正确的权限集后,选择下一步。
-
对于步骤 3:查看并提交,在查看任务并将其提交到“
AWS-account-name”页面上,执行以下操作:-
查看选定的组和权限集。
-
确认选择了正确的组和权限集之后,选择提交。
重要
组的分配过程可能需要几分钟才能完成。等到此过程成功完成再关闭该页面。
注意
您可能需要授予用户或组在 AWS Organizations 管理帐户中进行操作的权限。由于它是一个高特权帐户,因此额外的安全限制要求您拥有 IAMFullAccess
策略或同等权限,然后才能进行此设置。您的 AWS 组织中的任何成员帐户都不需要这些额外的安全限制。
-
或者,您可以使用 AWS CloudFormation 创建和分配权限集,并将这些权限集分配给用户。然后,用户可以登录 AWS 访问门户或使用 AWS Command Line Interface (AWS CLI) 命令。
