设置Amazon IAM Identity Center（IAM Identity）

设置 IAM Identy Centy

1. 打开Amazon Organizations控制台，创建组织（如果您还没有这样做）。默认情况下，该组织的所有功能均处于启用状态。

   有关更多信息，请参阅Amazon IAM Identity Center先决条件和创建和管理组织。

2. 打开 Amazon IAM Identity Center 控制台

3. 选择您的身份来源。

   默认情况下，您将获得 IAM Identity Center 商店，用于快速轻松地管理用户。或者，您可以改为连接外部身份提供商，也可以将Amazon Managed Microsoft AD目录与您的本地 Active Directory 连接起来。在本指南中，我们使用默认 IAM 身份中心存储。

   有关更多信息，请参阅《Amazon IAM Identity Center用户指南》中的 “选择您的身份来源”。

4. 创建 DataBrew 访问权限集：

   1. 在 IAM Identity Center 导航窗格中，选择Amazon账户，然后选择权限集。

   2. 在 “创建权限集” 页面上，选择 “创建自定义权限集”。

   3. 对于中继状态，输入https://console.aws.amazon.com/databrew/home?region=us-east-1#landing。

      输入此字段可让您的用户直接进入 DataBrew。

   4. 选择 “附加Amazon托管策略” DataBrew，搜索并选择AwsGlueDataBrewFullAccessPolicy。选择此选项可为您的用户提供他们所需的所有权限 DataBrew。您可以在中找到更多详细信息为控制台用户添加 IAM 策略。

   5. （可选）选择创建自定义权限策略并为用户自定义权限。

5. 在 IAM 身份中心导航窗格中，选择群组，然后选择创建群组。输入组名并选择创建。

6. 向 IAM 身份中心商店添加用户：

   1. 在 IAM 身份中心导航窗格中，选择用户。

   2. 在添加用户屏幕上，输入所需信息，然后选择向用户发送包含密码设置说明的电子邮件。用户应该收到一封关于后续设置步骤的电子邮件。

   3. 选择下一步：群组，选择所需的群组，然后选择添加用户。

      用户应收到一封邀请他们使用 SSO 的电子邮件。在这封电子邮件中，他们需要选择接受邀请并设置密码。他们还可以在电子邮件中找到门户网址。他们可以使用此 URL 进行访问 DataBrew。

7. 为每个用户分配一个账户：

   1. 打开 IAM Identity Center 控制台，然后在导航窗格中选择Amazon账户。

   2. 选择Amazon组织并选择一个Amazon帐户。

   3. 在 “分配用户” 屏幕上，选择 “群组” 选项卡，然后选择所需的群组。

   4. 选择 Next: Permissions sets (下一步：权限集)。

   5. 选择的权限集 DataBrew，然后选择 “完成”。