為群組指派 AWS 帳戶 存取權 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為群組指派 AWS 帳戶 存取權

在 IAM Identity Center 中建立管理使用者並建立其他許可集後,您可以用來執行具有最低權限許可的任務,您可以將 的存取權提供給 AWS 帳戶 使用者群組。

我們建議您將存取權直接指派給群組,而不是個別使用者。例如,如果您根據組織單位建立群組和許可集,如果使用者移至不同的組織單位,您只需將該使用者移至不同的群組,他們就會自動收到新組織單位所需的許可,並失去先前組織單位的許可。

將使用者群組存取權指派給 AWS 帳戶

  1. 開啟 IAM Identity Center 主控台

    注意

    如果您的身分來源是 AWS Managed Microsoft AD 確定 IAM Identity Center 主控台正在使用 AWS Managed Microsoft AD 目錄所在的區域,然後再移至下一個步驟。

  2. 在導覽窗格中的多帳戶許可 下,選擇 AWS 帳戶

  3. AWS 帳戶頁面上,會顯示組織的樹狀檢視清單。選取您要 AWS 帳戶 為其指派單一登入存取的一或多個旁邊的核取方塊。

    注意

    您最多可以選取 10 AWS 帳戶 個許可集。

  4. 選擇指派使用者或群組

  5. 對於步驟 1:在將使用者和群組指派給 " 上,選取使用者和群組 。 AWS-account-name" 頁面,選取群組索引標籤,然後選擇一或多個群組。

    若要篩選結果,請開始在搜尋方塊中輸入您想要的群組名稱。

    若要顯示您選取的群組,請選擇所選使用者和群組 旁邊的邊三角形。

    確認已選取正確的群組後,請選擇下一個

  6. 對於步驟 2:在將許可集指派給 " 上,選取許可集 。 AWS-account-name" 頁面,選取一或多個許可集

    注意

    如果您在開始此程序之前未建立所需的許可集,請選擇建立許可集 ,然後遵循 中的步驟建立許可集合。建立要套用的許可集後,請在 IAM Identity Center 主控台中返回 AWS 帳戶 並遵循指示,直到您達到步驟 2:選取許可集 為止。到達此步驟時,請選取您建立的新許可集,然後繼續進行此程序的下一個步驟。

    確認選取正確的許可集後,選擇下一步

  7. 對於步驟 3:在檢閱上檢閱並提交 ,並將指派提交至「 AWS-account-name" 頁面,請執行下列動作:

    1. 檢閱選取的群組和許可集。

    2. 確認選取正確的群組和許可集後,選擇提交

      重要

      群組指派程序可能需要幾分鐘的時間才能完成。保持此頁面開啟,直到程序成功完成為止。

      注意

      您可能需要授予使用者或群組在 AWS Organizations 管理帳戶中操作的許可。由於這是高度特權帳戶,因此其他安全限制要求您先擁有IAMFullAccess政策或同等許可,才能設定此項目。您 AWS 組織中的任何成員帳戶不需要這些額外的安全限制。

或者,您可以使用 AWS CloudFormation 來建立和指派許可集,並將使用者指派給這些許可集。然後,使用者可以登入存取入口網站或使用 AWSAWS Command Line Interface (AWS CLI) 命令。