委派权限集管理 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

委派权限集管理

IAM Identity Center 允许您通过创建引用 IAM Identity Center 的 Amazon 资源名称(ARN)IAM 策略来委派账户中的权限集和分配的管理。例如,您可以创建策略,使不同的管理员能够在指定账户中为具有特定标签的权限集管理分配。

您可以使用下列任一方法创建这些类型的策略。

  • (推荐)在 IAM Identity Center 中创建权限集,每个权限集都有不同的策略,并将权限集分配给不同的用户或组。这使您能够管理使用您选择的 IAM Identity Center 身份源登录的用户的管理权限。

  • 在 IAM 中创建自定义策略,然后将其附加到您的管理员担任的 IAM 角色。有关角色的信息,请参阅 IAM 角色以获取为其分配的 IAM Identity Center 管理权限。

重要

IAM Identity Center 资源 ARN 区分大小写。

以下内容显示了引用 IAM Identity Center 权限集和账户资源类型的正确案例。

资源类型 ARN 上下文键
PermissionSet arn:${Partition}:sso:::permissionSet/${InstanceId}/${PermissionSetId} aws:ResourceTag/${TagKey}
账户 arn:${Partition}:sso:::account/${AccountId} 不适用