建立、管理和刪除許可集

從預先定義的許可集開始

透過使用預先定義許可 的預先定義許可集，您可以從可用政策清單中選擇單一 AWS 受管政策。每個政策都會授予對常見任務函數之 AWS 服務和資源或許可的特定層級存取權。如需每個政策的相關資訊，請參閱 AWS 工作函數的 受管政策。收集用量資料後，您可以將許可集精簡為更嚴格的。

將管理工作階段持續時間限制在合理的工作期間

當使用者聯合到他們的 AWS 帳戶 並使用 AWS 管理主控台或 AWS 命令列介面 （AWS CLI） 時，IAMIdentity Center 會使用許可集上的工作階段持續時間設定來控制工作階段的持續時間。當使用者工作階段達到工作階段持續時間時，系統會將使用者登出主控台並要求重新登入。作為安全最佳實務，建議您不要將工作階段持續時間設定為執行角色所需的長度。根據預設，工作階段持續時間的值為一小時。您可以指定 12 小時的最大值。如需詳細資訊，請參閱設定 的工作階段持續時間 AWS 帳戶。

限制人力資源使用者入口網站工作階段持續時間

人力資源使用者使用入口網站工作階段來選擇角色和存取應用程式。依預設，工作階段持續時間上限 的值為 8 小時，此值決定人力使用者在必須重新驗證之前可以登入 AWS 存取入口網站的時間長度。您可以指定 90 天的最大值。如需詳細資訊，請參閱設定 AWS 存取入口網站和 IAM Identity Center 整合應用程式的工作階段持續時間。

使用提供最低權限許可的角色

您建立並指派給使用者的每個許可集都會在 AWS 存取入口網站中顯示為可用角色。當您以該使用者身分登入 入口網站時，請選擇對應至您可用來在帳戶中執行任務之限制性最高許可集的角色，而非 AdministratorAccess。在傳送使用者邀請之前，請測試您的許可集，以確認其提供必要的存取權。