委派管理 - Amazon IAM Identity Center
最佳实践先决条件注册成员账户取消注册成员账户查看哪个成员账号已注册为委派管理员
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

委派管理

委派管理为注册成员账户中的分配用户提供了一种便捷的方式,来执行大多数 IAM Identity Center 管理任务。启用 IAM Identity Center 时, Amazon Organizations 默认情况下,将在中的管理账户中创建您的 IAM 身份中心实例。最初是这样设计的,以便 IAM Identity Center 可以在组织的所有成员账户中配置、取消配置和更新角色。尽管您的 IAM Identity Center 实例必须始终位于管理账户中,但您可以选择将 IAM Identity Center 的管理委托给中的成员账户 Amazon Organizations,从而扩展从管理账户之外管理 IAM Identity Center 的能力。

启用委派管理具有以下优势:

  • 最大限度地减少需要访问管理账户的人员数量,以帮助缓解安全问题

  • 允许选定的管理员将用户和组分配给应用程序和组织的成员账户

有关 IAM 身份中心如何使用的更多信息 Amazon Organizations,请参阅管理访问权限 Amazon Web Services 账户。要了解更多信息并查看展示如何配置委派管理的公司情景的示例,请参阅Amazon 安全博客中的开始使用 IAM Identity Center 委派管理

最佳实践

以下是配置委派管理之前需要考虑的一些最佳实践。

  • 向管理账户授予最小权限 – 我们知道管理账户是一个高权限账户,为了遵守最小权限原则,我们强烈建议您将管理账户的访问权限限制为尽可能少的人。委派管理员功能旨在最大限度地减少需要访问管理账户的人数。

  • 创建仅在管理账户中使用的权限集 – 这样可以更轻松地管理专为访问您的管理账户的用户定制的权限集,并有助于将它们与您委派的管理员账户管理的权限集区分开来。

  • 考虑您的 Active Directory 位置 – 如果您计划使用 Active Directory 作为 IAM Identity Center 身份源,请在启用了 IAM Identity Center 委派管理员功能的成员账户中找到该目录。如果您决定将 IAM Identity Center 身分来源从任何其他来源更改为 Active Directory,或者将其从 Active Directory 更改为任何其他来源,则该目录必须驻留在 IAM Identity Center 委派管理员成员账户(如果存在)中(归该账户所有);否则,它必须位于管理账户中。

  • 仅在管理账户中创建用户分配 – 委派管理员无法更改管理账户中配置的权限集。但是,委派管理员可以添加、编辑和删除组和组分配。

先决条件

在将账户注册为委派管理员之前,必须先部署以下环境:

  • Amazon Organizations 除了您的默认管理账户外,还必须启用并配置至少一个成员帐户。

  • 如果您的身份源设置为 Active Directory,则必须启用 IAM Identity Center 可配置 AD 同步 功能。

注册成员账户

要配置委派管理,必须先将组织中的成员账户注册为委派管理员。该成员账户中拥有足够权限的用户将拥有对 IAM Identity Center 的管理访问权限。成员账户成功注册委派管理后,它被称为委派管理员账户。要详细了解委派管理员账户可以执行的任务,请参阅 Amazon Web Services 账户 类型

IAM Identity Center 一次仅支持将一个成员账户注册为委派管理员。只有使用管理账户的凭证登录后,您才能注册成员账户。

通过将 Amazon 组织中的特定成员账户注册为委托管理员,使用以下步骤授予对 IAM Identity Center 的管理访问权限。

重要

此操作将 IAM Identity Center 管理权限委派给该成员账户中的管理员用户。对此委派管理员账户拥有足够权限的所有用户都可以从该账户执行所有 IAM Identity Center 管理任务,但以下任务除外:

  • 启用 IAM Identity Center

  • 删除 IAM Identity Center 配置

  • 管理管理账号中配置的权限集

  • 将其他成员账号作为委派管理员注册或取消注册

  • 在管理账户中启用或禁用用户访问权限

委派管理员可以编辑组成员资格。

注册成员账户

  1. Amazon Web Services Management Console 使用您的管理账户的凭据登录 Amazon Organizations。需要管理账户凭据才能运行 RegisterDelegatedAdministratorAPI。

  2. 选择启用 IAM Identity Center 的区域,然后打开 IAM Identity Center 控制台

  3. 选择设置,然后选择管理选项卡。

  4. 委派管理员部分,选择注册账户

  5. 在 “注册委托管理员” 页面上,选择 Amazon Web Services 账户 要注册的,然后选择 “注册账户”。

取消注册成员账户

只有使用管理账户的凭证登录后,您才能取消注册成员账户。

使用以下步骤取消 Amazon 组织中以前被指定为委托管理员的成员账户的注册,从而从 IAM Identity Center 中移除管理权限。

重要

当您取消注册账户时,您实际上移除了所有管理员用户从该账户管理 IAM Identity Center 的能力。因此,他们无法再通过该账户管理 IAM Identity Center 身份、访问管理、身份验证或应用程序访问权限。此操作不会影响在 IAM Identity Center 中配置的任何权限或分配,因此不会对您的最终用户产生任何影响,因为他们将继续在 Amazon Web Services 访问门户 Amazon Web Services 账户 中访问其应用程序。

取消注册成员账户

  1. Amazon Web Services Management Console 使用您的管理账户的凭据登录 Amazon Organizations。需要管理账户凭据才能运行 DeregisterDelegatedAdministratorAPI。

  2. 选择启用 IAM Identity Center 的区域,然后打开 IAM Identity Center 控制台

  3. 选择设置,然后选择管理选项卡。

  4. 委派管理员部分,选择取消注册账户

  5. 取消注册账户对话框中,查看安全隐患,然后输入成员账户的名称以确认您已理解。

  6. 选择取消注册账户

查看哪个成员账号已注册为委派管理员

使用以下步骤查找您的哪个成员账户 Amazon Organizations 已配置为 IAM Identity Center 的委托管理员。

查看已注册的成员账户

  1. 打开 IAM Identity Center 控制台

  2. 选择设置

  3. 详细信息部分的委派管理员下找到注册的账户名。您也可以通过选择管理选项卡,然后在授权管理员部分下查看来查找此信息。