本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Control Tower 的 IAM Identity Center 群組
AWS Control Tower 提供預先設定的群組,以組織在帳戶中執行特定任務的使用者。您可以新增使用者,並直接在 IAM Identity Center 中將使用者指派給這些群組。執行此作業會將許可集與您帳戶內群組中的使用者進行比對。如需設定 群組的最新指引和最佳實務,請參閱《IAM Identity Center 使用者指南》中的最佳實務。
當您設定登陸區域時,會建立下列群組。
AWSAccountFactory
| 帳戶 |
許可集 |
描述 |
| 管理帳戶 |
AWSServiceCatalogEndUserAccess |
此群組僅用於此帳戶,以使用 Account Factory 佈建新帳戶。 |
AWSServiceCatalogAdmins
| 帳戶 |
許可集 |
描述 |
| 管理帳戶 |
AWSServiceCatalogAdminFullAccess |
此群組僅用於此帳戶,以對 Account Factory 進行管理變更。除非同時位於 AWSAccountFactory 群組中,否則此群組中的使用者無法佈建新帳戶。 |
AWSControlTowerAdmins
| 帳戶 |
許可集 |
描述 |
| 管理帳戶 |
AWSAdministratorAccess |
此帳戶中此群組的使用者是唯一有權存取 AWS Control Tower 主控台的使用者。 |
| 日誌存檔帳戶 |
AWSAdministratorAccess |
此帳戶中的使用者將具備管理存取權限。 |
| 稽核帳戶 |
AWSAdministratorAccess |
此帳戶中的使用者將具備管理存取權限。 |
| 成員帳戶 |
AWSOrganizationsFullAccess |
使用者可完整存取此帳戶中的組織。 |
AWSSecurityAuditPowerUsers
| 帳戶 |
許可集 |
描述 |
| 管理帳戶 |
AWSPowerUserAccess |
使用者可以執行應用程式開發任務,並建立和設定支援 AWS 感知應用程式開發的資源和服務。 |
| 日誌存檔帳戶 |
AWSPowerUserAccess |
使用者可以執行應用程式開發任務,並建立和設定支援 AWS 感知應用程式開發的資源和服務。 |
| 稽核帳戶 |
AWSPowerUserAccess |
使用者可以執行應用程式開發任務,並建立和設定支援 AWS 感知應用程式開發的資源和服務。 |
| 成員帳戶 |
AWSPowerUserAccess |
使用者可以執行應用程式開發任務,並建立和設定支援 AWS 感知應用程式開發的資源和服務。 |
AWSSecurityAuditors
| 帳戶 |
許可集 |
描述 |
| 管理帳戶 |
AWSReadOnlyAccess |
使用者可唯讀存取此帳戶中的所有 AWS 服務和資源。 |
| 日誌存檔帳戶 |
AWSReadOnlyAccess |
使用者可唯讀存取此帳戶中的所有 AWS 服務和資源。 |
| 稽核帳戶 |
AWSReadOnlyAccess |
使用者可唯讀存取此帳戶中的所有 AWS 服務和資源。 |
| 成員帳戶 |
AWSReadOnlyAccess |
使用者可唯讀存取此帳戶中的所有 AWS 服務和資源。 |
AWSLogArchiveAdmins
| 帳戶 |
許可集 |
描述 |
| 日誌存檔帳戶 |
AWSAdministratorAccess |
此帳戶中的使用者將具備管理存取權限。 |
AWSLogArchiveViewers
| 帳戶 |
許可集 |
描述 |
| 日誌存檔帳戶 |
AWSReadOnlyAccess |
使用者可唯讀存取此帳戶中的所有 AWS 服務和資源。 |
AWSAuditAccountAdmins
| 帳戶 |
許可集 |
描述 |
| 稽核帳戶 |
AWSAdministratorAccess |
此帳戶中的使用者將具備管理存取權限。 |
