本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
委派管理
委派管理为注册成员帐户中的分配用户提供了一种便捷的方式,来执行大多数 IAM Identity Center 管理任务。默认情况下,启用 IAM Identity Center 后,将在中的管理帐户中创建您的 IAM Identit Amazon Organizations y Center 实例。最初是这样设计的,以便 IAM Identity Center 可以在组织的所有成员帐户中配置、取消配置和更新角色。尽管您的 IAM Identity Center 实例必须始终驻留在管理帐户中,您也可以选择将 IAM Identity Center 的管理委派给中的成员帐户 Amazon Organizations,从而扩展从管理帐户外部管理 IAM Identity Center 的能力。
启用委派管理具有以下优势:
-
最大限度地减少需要访问管理帐户的人员数量,以帮助缓解安全问题
-
允许选定的管理员将用户和组分配给应用程序和组织的成员帐户
有关 IAM Identity Center 和的更多信息 Amazon Organizations,请参阅Amazon Web Services 账户 访问。要了解更多信息并查看展示如何配置委派管理的公司情景的示例,请参阅Amazon
安全博客中的开始使用 IAM Identity Center 委派管理
最佳实践
以下是配置委派管理之前需要考虑的一些最佳实践。
-
向管理帐户授予最小权限 – 我们知道管理帐户是一个高权限帐户,为了遵守最小权限原则,我们强烈建议您将管理帐户的访问权限限制为尽可能少的人。委派管理员功能旨在最大限度地减少需要访问管理帐户的人数。
-
创建仅在管理帐户中使用的权限集 – 这样可以更轻松地管理专为访问您的管理帐户的用户定制的权限集,并有助于将它们与您委派的管理员帐户管理的权限集区分开来。
-
考虑您的 Active Directory 位置 – 如果您计划使用 Active Directory 作为 IAM Identity Center 身份源,请在启用了 IAM Identity Center 委派管理员功能的成员帐户中找到该目录。如果您决定将 IAM Identity Center 身分来源从任何其他来源更改为 Active Directory,或者将其从 Active Directory 更改为任何其他来源,则该目录必须驻留在 IAM Identity Center 委派管理员成员帐户(如果存在)中(归该帐户所有);否则,它必须位于管理帐户中。
-
仅在管理帐户中创建用户分配 – 委派管理员无法更改管理帐户中配置的权限集。但是,委派管理员可以添加、编辑和删除组和组分配。
先决条件
在将帐户注册为委派管理员之前,必须先部署以下环境:
-
Amazon Organizations 除了您的默认管理帐户外,还必须启用并配置至少一个成员帐户。
-
如果您的身份源设置为 Active Directory,则必须启用 IAM Identity Center 可配置 AD 同步 功能。