將使用者存取權指派給 AWS 帳戶 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將使用者存取權指派給 AWS 帳戶

使用下列程序將單一登入存取指派給連線目錄中的使用者和群組,並使用許可集來判斷其存取層級。

若要檢查現有的使用者和群組存取權,請參閱 檢視使用者和群組指派

注意

為了簡化存取許可的管理,我們建議您直接對群組 (而非個別使用者) 指派存取。透過群組,您可以對使用者群組授予或拒絕許可,而不需要為每個使用者套用這些許可。如果使用者移到不同的組織,則只要將該使用者移到不同的群組,即可自動接收新組織所需的許可。

將使用者或群組存取權指派給 AWS 帳戶

  1. 開啟 IAM Identity Center 主控台

    注意

    請確定 IAM Identity Center 主控台正在使用 AWS Managed Microsoft AD 目錄所在的區域,然後再移至下一個步驟。

  2. 在導覽窗格中的多帳戶許可下,選擇 AWS 帳戶

  3. AWS 帳戶頁面上,會顯示組織的樹狀檢視清單。選取您要 AWS 帳戶 為其指派單一登入存取的一或多個旁邊的核取方塊。

    注意

    當您將單一登入存取權指派給使用者和群組時,每個許可集 AWS 帳戶 一次最多可以選取 10 個。若要 AWS 帳戶 將超過 10 個使用者和群組指派給同一組使用者和群組,請視需要對其他帳戶重複此程序。出現提示時,選取相同的使用者、群組和許可集。

  4. 選擇指派使用者或群組

  5. 對於步驟 1:選取使用者和群組,在將使用者和群組指派給 "AWS-account-name" 頁面上,執行下列動作:

    1. 使用者索引標籤上,選取要授予單一登入存取權的一或多個使用者。

      若要篩選結果,請開始在搜尋方塊中輸入您想要的使用者名稱。

    2. 群組索引標籤上,選取要授予單一登入存取權的一或多個群組。

      若要篩選結果,請在搜尋方塊中開始輸入您想要的群組名稱。

    3. 若要顯示您選取的使用者和群組,請選擇所選使用者和群組旁的側邊三角形。

    4. 在您確認已選取正確的使用者和群組之後,請選擇下一步

  6. 對於步驟 2:選取許可集,在將許可集指派給 "AWS-account-name" 頁面上,執行下列動作:

    1. 選取一或多個許可集。如果需要,您可以建立和選取新的許可集。

      • 若要選取一或多個現有的許可集,請在許可集下,選取您要套用至您在上一個步驟中選取之使用者和群組的許可集。

      • 若要建立新的一或多個許可集,請選擇建立許可集,然後遵循 中的步驟建立許可集合。建立您要套用的許可集後,請在 IAM Identity Center 主控台中返回 AWS 帳戶 並遵循指示,直到您達到步驟 2:選取許可集。當您到達此步驟時,請選取您建立的新許可集,然後繼續進行此程序的下一個步驟。

    2. 在您確認選取正確的許可集之後,請選擇下一步

  7. 對於步驟 3:檢閱和提交,在檢閱和提交指派至「AWS-account-name頁面上,執行下列動作:

    1. 檢閱選取的使用者、群組和許可集。

    2. 在您確認已選取正確的使用者、群組和許可集之後,請選擇提交

      重要

      使用者和群組指派程序可能需要幾分鐘的時間才能完成。保持此頁面開啟,直到程序成功完成為止。

      注意

      您可能需要授予使用者或群組在 AWS Organizations 管理帳戶中操作的許可。由於這是高度特權帳戶,因此其他安全限制要求您先擁有 IAMFullAccess 政策或同等許可,才能設定此項目。您 AWS 組織中的任何成員帳戶不需要這些額外的安全限制。