本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 IAM Identity Center 中的服務連結角色
服務連結角色是預先定義的IAM許可,允許 IAM Identity Center 委派和強制執行哪些使用者在 中具有組織中特定 AWS 帳戶 的單一登入存取權 AWS Organizations。服務會在 AWS 帳戶 其組織內的每個 中佈建服務連結角色,以啟用此功能。然後,該服務允許 IAM Identity Center AWS 等其他服務利用這些角色來執行服務相關任務。如需詳細資訊,請參閱 AWS Organizations 和服務連結角色 。
當您啟用 IAM Identity Center 時,IAMIdentity Center 會在 組織內的所有帳戶中建立服務連結角色 AWS Organizations。IAM Identity Center 也會在每個帳戶中建立相同的服務連結角色,這些角色隨後會新增至您的組織。此角色允許 IAM Identity Center 代表您存取每個帳戶的資源。如需詳細資訊,請參閱AWS 帳戶 存取。
在每個 中建立的服務連結角色命名 AWS 帳戶 為 AWSServiceRoleForSSO。如需詳細資訊,請參閱使用 IAM Identity Center 的服務連結角色。
備註
-
如果您已登入 AWS Organizations 管理帳戶,則會使用您目前登入的角色,而不是服務連結的角色。這可防止權限升級。
-
當 IAM Identity Center 在 AWS Organizations 管理帳戶中執行任何IAM操作時,所有操作都會使用IAM主體的憑證進行。這可讓 登入 CloudTrail 提供管理帳戶中進行所有權限變更的人員可見性。
