设置 Amazon IAM Identity Center （IAM 身份中心）

设置 IAM 身份中心

1. 打开Amazon Organizations 控制台，如果您还没有组织，请创建一个组织。默认情况下，该组织的所有功能均处于启用状态。

   有关更多信息，请参阅Amazon IAM Identity Center 先决条件和创建和管理组织。

2. 打开 Amazon IAM Identity Center 控制台

3. 选择身份源。

   默认情况下，您将获得一个 IAM Identity Center 存储，以便快速轻松地管理用户。或者，您可以改为连接外部身份提供商，或者将 Amazon Managed Microsoft AD 目录与本地 Active Directory 连接起来。在本指南中，我们使用默认的 IAM 身份中心存储。

   有关更多信息，请参阅《Amazon IAM Identity Center 用户指南》中的选择您的身份来源。

4. 创建 DataBrew 访问权限集：

   1. 在 IAM Identity Center 导航窗格中，选择Amazon 账户，然后选择权限集。

   2. 在 “创建权限集” 页面上，选择 “创建自定义权限集”。

   3. 对于 “中继状态”，输入https://console.aws.amazon.com/databrew/home?region=us-east-1#landing。

      输入此字段后，您的用户就可以直接转到 DataBrew。

   4. 选择附加 Amazon 托管策略 DataBrew，搜索并选择AwsGlueDataBrewFullAccessPolicy。选择此选项可为您的用户提供他们所需的所有权限 DataBrew。您可以在中找到更多详细信息为控制台用户添加 IAM 策略。

   5. （可选）选择 “创建自定义权限策略”，然后为您的用户自定义权限。

5. 在 IAM Identity Center 导航窗格中，选择组，然后选择创建组。输入组名称并选择创建。

6. 将用户添加到 IAM 身份中心存储：

   1. 在 IAM Identity Center 导航窗格中，选择用户。

   2. 在添加用户页面上，输入所需信息，然后选择向用户发送包含密码设置说明的电子邮件。用户将收到一封包含后续设置步骤的电子邮件。

   3. 选择下一步：组，再选择所需的组，然后选择添加用户。

      用户将收到一封邀请他们使用 SSO 的电子邮件。在这封电子邮件中，他们需要选择接受邀请并设置密码。他们还可以在电子邮件中找到门户 URL。他们可以使用此 URL 进行访问 DataBrew。

7. 为每个用户分配一个帐户：

   1. 打开 I AM 身份中心控制台，然后在导航窗格中选择Amazon 账户。

   2. 选择Amazon 组织并选择一个 Amazon 帐户。

   3. 在分配用户屏幕上，选择群组选项卡，然后选择所需的群组。

   4. 选择 Next: Permissions sets (下一步：权限集)。

   5. 选择的权限集 DataBrew，然后选择 “完成”。