建立許可集合 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立許可集合

使用此程序來建立使用單一 AWS 受管政策的預先定義許可集,或使用最多 10 AWS 個受管或客戶受管政策和內嵌政策的自訂許可集。您可以在 Service Quotas 主控台中請求調整 10 個政策的數量上限IAM。

您可以在 IAM Identity Center 主控台中建立許可集。

建立許可集合

  1. 開啟 IAM Identity Center 主控台

  2. 多帳戶許可下,選擇許可集

  3. 選擇 Create permission set (建立許可集合)

  4. 選取許可集類型頁面的許可集類型下,選取許可集類型。

  5. 根據許可集類型,選擇您要用於許可集的一或多個政策:

    • 預先定義的許可集

      1. 預先定義許可集的政策下,選取清單中的其中一個IAM任務函數政策常見許可政策,然後選擇下一步。如需詳細資訊,請參閱AWS Identity and Access Management 《 使用者指南》中的AWS 任務函數的 受管政策和 AWS 受管政策

      2. 前往步驟 6 以完成指定許可集詳細資訊頁面。

    • 自訂許可集

      1. 選擇 Next (下一步)

      2. 指定政策和許可界限頁面上,選擇要套用至新許可集IAM的政策類型。根據預設,您可以將最多 10 個AWS 受管政策和客戶受管政策的任何組合新增至您的許可集。此配額由 設定IAM。若要提高配額,請請求增加附加至 Service Quotas IAM 主控台中每個您要指派許可集 AWS 帳戶 之角色的配額受管政策。 IAM

        • 展開AWS 受管政策,從 IAM AWS 中新增建置和維護的政策。如需詳細資訊,請參閱AWS 受管政策

          1. 搜尋並選擇您想要套用至許可集中使用者的AWS 受管政策

          2. 如果您想要新增其他類型的政策,請選擇其容器並進行選擇。當您已選擇您要套用的所有政策時,請選擇下一步。前往步驟 6 以完成指定許可集詳細資訊頁面。

        • 展開客戶受管政策,從IAM您建置和維護的政策中新增政策。如需詳細資訊,請參閱客戶受管政策

          1. 選擇連接政策,然後輸入您要新增至許可集的政策名稱。在您要指派許可集的每個帳戶中,建立具有您輸入名稱的政策。最佳實務是將相同的許可指派給每個帳戶中的政策。

          2. 選擇連接更多以新增其他政策。

          3. 如果您想要新增其他類型的政策,請選擇其容器並進行選擇。當您已選擇您要套用的所有政策時,請選擇下一步。前往步驟 6 以完成指定許可集詳細資訊頁面。

        • 展開內嵌政策以新增自訂 JSON政策文字。內嵌政策未對應至現有的IAM資源。若要建立內嵌政策,請在提供的表單中輸入自訂政策語言。 IAMIdentity Center 會將政策新增至其在成員帳戶中建立IAM的資源。如需詳細資訊,請參閱內嵌政策

          1. 在互動式編輯器中將所需的動作和資源新增至內嵌政策。其他陳述式可以使用新增陳述式來新增

          2. 如果您想要新增其他類型的政策,請選擇其容器並進行選擇。當您已選擇您要套用的所有政策時,請選擇下一步。前往步驟 6 以完成指定許可集詳細資訊頁面。

        • 展開許可界限,將 AWS 受管或客戶受管IAM政策新增為許可集中其他政策可指派的最大許可。如需詳細資訊,請參閱許可界限

          1. 選擇使用許可界限來控制許可上限

          2. 選擇AWS 受管政策,從 設定政策IAM,以AWS建置和維護 作為您的許可界限。選擇客戶受管政策,以設定IAM建置和維護的政策作為許可界限。

          3. 如果您想要新增其他類型的政策,請選擇其容器並進行選擇。當您已選擇您要套用的所有政策時,請選擇下一步。前往步驟 6 以完成指定許可集詳細資訊頁面。

  6. 指定許可集詳細資訊頁面上,執行下列動作:

    1. 許可集名稱下,輸入名稱以在 IAM Identity Center 中識別此許可集。您為此許可集指定的名稱會在 AWS 存取入口網站中顯示為可用角色。使用者登入 AWS 存取入口網站,選擇 AWS 帳戶,然後選擇 角色。

    2. (選用) 您也可以輸入描述。描述只會出現在 IAM Identity Center 主控台中,而不會出現在 AWS 存取入口網站中。

    3. (選用) 指定工作階段持續時間的值。此值決定在主控台將使用者登出其工作階段之前,可登入使用者的時間長度。如需詳細資訊,請參閱設定 的工作階段持續時間 AWS 帳戶

    4. (選用) 指定轉送狀態的值。此值用於聯合程序,以重新導向帳戶內的使用者。如需詳細資訊,請參閱設定轉送狀態以快速存取 AWS Management Console

      注意

      轉送狀態URL必須在 內 AWS Management Console。例如:

      https://console.aws.amazon.com/ec2/

    5. 展開標籤 (選用),選擇新增標籤,然後指定索引鍵值的值 (選用)

      如需標籤的相關資訊,請參閱標記 AWS IAM Identity Center resources

    6. 選擇 Next (下一步)

  7. 檢閱和建立頁面上,檢閱您所做的選擇,然後選擇建立

  8. 根據預設,當您建立許可集時,不會佈建許可集 (用於任何 AWS 帳戶)。若要在 中佈建許可集 AWS 帳戶,您必須將 IAM Identity Center 存取權指派給帳戶中的使用者和群組,然後將許可集套用至這些使用者和群組。如需詳細資訊,請參閱將使用者存取權指派給 AWS 帳戶