本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
委派管理
委托管理为注册成员账户中的分配用户提供了一种便捷的方式来执行大多数 Ident IAM ity Center 管理任务。启用 IAM Identity Center 后,您的IAM身份中心实例将在中的管理账户中创建 Amazon Organizations 默认情况下。它最初是这样设计的,因此 Ident IAM ity Center 可以在组织的所有成员账户中配置、取消配置和更新角色。尽管您的 IAM Identity Center 实例必须始终位于管理账户中,但您可以选择将IAM身份中心的管理委托给成员账户 Amazon Organizations,从而扩展了从管理账户之外管理 IAM Identity Center 的能力。
启用委派管理具有以下优势:
-
最大限度地减少需要访问管理帐户的人员数量,以帮助缓解安全问题
-
允许选定的管理员将用户和组分配给应用程序和组织的成员帐户
有关 Ident IAM ity Center 如何使用的更多信息 Amazon Organizations,请参阅 Amazon Web Services 账户 访问。有关其他信息以及要查看展示如何配置委托管理的公司场景示例,请参阅中的 Ident IAMity Center 委托管理入门
最佳实践
以下是配置委派管理之前需要考虑的一些最佳实践。
-
向管理帐户授予最小权限 – 我们知道管理帐户是一个高权限帐户,为了遵守最小权限原则,我们强烈建议您将管理帐户的访问权限限制为尽可能少的人。委派管理员功能旨在最大限度地减少需要访问管理帐户的人数。
-
创建仅在管理帐户中使用的权限集 – 这样可以更轻松地管理专为访问您的管理帐户的用户定制的权限集,并有助于将它们与您委派的管理员帐户管理的权限集区分开来。
-
考虑您的 Active Directory 位置 — 如果您计划使用 Active Directory 作为IAM身份中心身份源,请在启用IAM身份中心委托管理员功能的成员帐户中找到该目录。如果您决定将IAM身份中心身份源从任何其他来源更改为 Active Directory,或者将其从 Active Directory 更改为任何其他来源,则该目录必须位于IAM身份中心委托的管理员成员帐户(如果存在)中(归其所有);否则,它必须位于管理帐户中。
-
仅在管理帐户中创建用户分配 – 委派管理员无法更改管理帐户中配置的权限集。但是,委派管理员可以添加、编辑和删除组和组分配。
先决条件
在将帐户注册为委派管理员之前,必须先部署以下环境:
-
Amazon Organizations 除了您的默认管理账户外,还必须启用并配置至少一个成员帐户。
-
如果您的身份源设置为 Active Directory,则必须启用 IAM身份中心可配置 AD 同步 功能。