

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將使用者或群組存取權指派給 AWS 帳戶
<a name="assignusers"></a>

使用下列程序將單一登入存取指派給連線目錄中的使用者和群組，並使用許可集來判斷其存取層級。

若要檢查現有的使用者和群組存取權，請參閱 [檢視和變更許可集](howtoviewandchangepermissionset.md)。

**注意**  
為了簡化存取許可的管理，我們建議您直接對群組 (而非個別使用者) 指派存取。透過群組，您可以對使用者群組授予或拒絕許可，而不需要為每個使用者套用這些許可。如果使用者移到不同的組織，則只要將該使用者移到不同的群組，即可自動接收新組織所需的許可。

**將使用者或群組存取權指派給 AWS 帳戶**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
**注意**  
請確定 IAM Identity Center 主控台使用 AWS Managed Microsoft AD 目錄所在的區域，然後再移至下一個步驟。

1. 在導覽窗格中的**多帳戶許可**下，選擇 **AWS 帳戶**。

1. 在 **AWS 帳戶**頁面上，會顯示組織的樹狀檢視清單。選取您要 AWS 帳戶 為其指派存取權之 旁的核取方塊。如果您要設定 IAM Identity Center 的管理存取權，請選取管理帳戶 旁的核取方塊。
**注意**  
當您將單一登入存取指派給使用者和群組時，每個許可集 AWS 帳戶 一次最多可以選取 10 個。若要 AWS 帳戶 將超過 10 個使用者和群組指派給同一組使用者和群組，請視需要為其他帳戶重複此程序。出現提示時，選取相同的使用者、群組和許可集。

1. 選擇**指派使用者或群組**。

1. 針對**步驟 1：選取使用者和群組**，在**將使用者和群組指派給 "*AWS-account-name*"** 頁面上，執行下列動作：

   1. 在**使用者**索引標籤上，選取要授予單一登入存取權的一或多個使用者。

      若要篩選結果，請在搜尋方塊中開始輸入您想要的使用者名稱。

   1. 在**群組**索引標籤上，選取要授予單一登入存取權的一或多個群組。

      若要篩選結果，請在搜尋方塊中開始輸入您想要的群組名稱。

   1. 若要顯示您選取的使用者和群組，請選擇**所選使用者和群組**旁的邊三角形。

   1. 在您確認已選取正確的使用者和群組之後，請選擇**下一步**。

1. 針對**步驟 2：選取許可集**，在**將許可集指派給 "*AWS-account-name*"** 頁面上，執行下列動作：

   1. 選取一或多個許可集。如果需要，您可以建立和選取新的許可集。
      + 若要選取一或多個現有的許可集，請在**許可集**下，選取您要套用至您在上一個步驟中選取之使用者和群組的許可集。
      + 若要建立一或多個新的許可集，請選擇**建立許可集**，然後遵循 中的步驟[建立許可集](howtocreatepermissionset.md)。在您建立要套用的許可集之後，在 IAM Identity Center 主控台中，返回 **AWS 帳戶** 並遵循指示，直到您到達**步驟 2：選取許可集**為止。當您到達此步驟時，請選取您建立的新許可集，然後繼續此程序的下一個步驟。

   1. 在您確認已選取正確的許可集之後，請選擇**下一步**。

1. 針對**步驟 3：檢閱並提交**，在**檢閱並提交指派至 "*AWS-account-name*"** 頁面上，執行下列動作：

   1. 檢閱選取的使用者、群組和許可集。

   1. 在您確認已選取正確的使用者、群組和許可集之後，請選擇**提交**。

**考量事項**
   + 使用者和群組指派程序可能需要幾分鐘的時間才能完成。保持開啟此頁面，直到程序成功完成為止。
   + 
**注意**  
您可能需要授予使用者或群組在 AWS Organizations 管理帳戶中操作的許可。因為這是高權限帳戶，所以額外的安全限制需要您擁有 [IAMFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) 政策或同等許可，才能進行設定。您 AWS 組織中的任何成員帳戶不需要這些額外的安全限制。

1. 如果下列任一情況適用，請依照中的步驟[MFA 提示使用者](mfa-getting-started.md)啟用 IAM Identity Center 的 MFA：
   + 您使用預設的 Identity Center 目錄做為身分來源。
   + 您正在使用 Active Directory 中的 AWS Managed Microsoft AD 目錄或自我管理目錄做為身分來源，而且沒有搭配 使用 RADIUS MFA AWS Directory Service。
**注意**  
如果您使用的是外部身分提供者，請注意，外部 IdP 而非 IAM Identity Center 會管理 MFA 設定。外部 IdPs 不支援在 IAM Identity Center 中使用 MFA。

當您為管理使用者設定帳戶存取權時，IAM Identity Center 會建立對應的 IAM 角色。此角色由 IAM Identity Center 控制，在相關 中建立 AWS 帳戶，且許可集中指定的政策會連接到角色。

或者，您可以使用 [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html) 來建立和指派許可集，並將使用者指派給這些許可集。然後[，使用者可以登入 AWS 存取入口網站](howtosignin.md)或使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/singlesignon/latest/userguide/integrating-aws-cli.html) 命令。