建立許可集合 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立許可集合

使用此程序來建立使用單一 AWS 受管政策的預先定義許可集,或使用最多 10 AWS 個受管或客戶受管政策和內嵌政策的自訂許可集。您可以在 Service Quotas 主控台中請求調整 IAM 的 10 個政策數目上限。

您可以在 IAM Identity Center 主控台中建立許可集。

建立許可集合
  1. 開啟 IAM Identity Center 主控台

  2. 多帳戶許可下,選擇許可集

  3. 選擇 Create permission set (建立許可集合)

  4. 選取許可集類型頁面的許可集類型下,選取許可集類型。

  5. 根據許可集類型,選擇您要用於許可集的一或多個政策:

    • 預先定義的許可集

      1. 預先定義許可集的政策下,選取清單中的其中一個 IAM 任務函數政策常見許可政策,然後選擇下一步。如需詳細資訊,請參閱AWS Identity and Access Management 《 使用者指南》中的AWS 任務函數的 受管政策和 AWS 受管政策

      2. 前往步驟 6 以完成指定許可集詳細資訊頁面。

    • 自訂許可集

      1. 選擇 Next (下一步)

      2. 指定政策和許可界限頁面上,選擇要套用至新許可集的 IAM 政策類型。根據預設,您可以將最多 10 個AWS 受管政策和客戶受管政策的任何組合新增至您的許可集。此配額由 IAM 設定。若要提高配額, AWS 帳戶 請在您要指派許可集的每個 中的 Service Quotas 主控台中,請求增加連接到 IAM 角色的 IAM 配額受管政策

        • 展開 AWS 受管政策,從 AWS IAM 中新增建置和維護的政策。如需詳細資訊,請參閱AWS 受管政策

          1. 搜尋並選擇您想要套用至許可集中使用者的AWS 受管政策

          2. 如果您想要新增其他類型的政策,請選擇其容器並進行選擇。當您已選擇您要套用的所有政策時,請選擇下一步。前往步驟 6 以完成指定許可集詳細資訊頁面。

        • 展開客戶受管政策,從您建置和維護的 IAM 新增政策。如需詳細資訊,請參閱客戶受管政策

          1. 選擇連接政策,然後輸入您要新增至許可集的政策名稱。在您要指派許可集的每個帳戶中,使用您輸入的名稱建立政策。最佳實務是將相同的許可指派給每個帳戶中的政策。

          2. 選擇連接更多以新增其他政策。

          3. 如果您想要新增其他類型的政策,請選擇其容器並進行選擇。當您已選擇您要套用的所有政策時,請選擇下一步。前往步驟 6 以完成指定許可集詳細資訊頁面。

        • 展開內嵌政策以新增自訂 JSON 格式的政策文字。內嵌政策未對應至現有的 IAM 資源。若要建立內嵌政策,請在提供的表單中輸入自訂政策語言。IAM Identity Center 會將政策新增至其在成員帳戶中建立的 IAM 資源。如需詳細資訊,請參閱內嵌政策

          1. 在互動式編輯器中將所需的動作和資源新增至內嵌政策。其他陳述式可以使用新增陳述式來新增

          2. 如果您想要新增其他類型的政策,請選擇其容器並進行選擇。當您已選擇您要套用的所有政策時,請選擇下一步。前往步驟 6 以完成指定許可集詳細資訊頁面。

        • 展開許可界限,將 AWS 受管或客戶受管 IAM 政策新增為許可集中其他政策可指派的最大許可。如需詳細資訊,請參閱許可界限

          1. 選擇使用許可界限來控制最大許可

          2. 選擇 AWS 受管政策,從 IAM 設定政策,以AWS建置和維護 做為您的許可界限。選擇客戶受管政策,從建置和維護的 IAM 設定政策,做為您的許可界限。

          3. 如果您想要新增其他類型的政策,請選擇其容器並進行選擇。當您已選擇您要套用的所有政策時,請選擇下一步。前往步驟 6 以完成指定許可集詳細資訊頁面。

  6. 指定許可集詳細資訊頁面上,執行下列動作:

    1. 許可集名稱下,輸入名稱以識別 IAM Identity Center 中的此許可集。您為此許可集指定的名稱會在 AWS 存取入口網站中顯示為可用角色。使用者登入 AWS 存取入口網站,選擇 AWS 帳戶,然後選擇 角色。

    2. (選用) 您也可以輸入描述。描述只會出現在 IAM Identity Center 主控台中,而不是 AWS 存取入口網站。

    3. (選用) 指定工作階段持續時間的值。此值決定在主控台將使用者登出其工作階段之前,可登入的時間長度。如需詳細資訊,請參閱設定 的工作階段持續時間 AWS 帳戶

    4. (選用) 指定轉送狀態的值。此值用於聯合程序,以重新導向帳戶內的使用者。如需詳細資訊,請參閱設定轉送狀態以快速存取 AWS Management Console

      注意

      轉送狀態 URL 必須在 內 AWS Management Console。例如:

      https://console.aws.amazon.com/ec2/

    5. 展開標籤 (選用),選擇新增標籤,然後指定索引鍵值的值 (選用)

      如需標籤的相關資訊,請參閱標記 AWS IAM Identity Center 資源

    6. 選擇 Next (下一步)

  7. 檢閱和建立頁面上,檢閱您所做的選擇,然後選擇建立

  8. 根據預設,當您建立許可集時,不會佈建許可集 (用於任何 AWS 帳戶)。若要在 中佈建許可集 AWS 帳戶,您必須將 IAM Identity Center 存取權指派給帳戶中的使用者和群組,然後將許可集套用至這些使用者和群組。如需詳細資訊,請參閱將使用者存取權指派給 AWS 帳戶