本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用默认 IAM Identity Center 目录配置用户访问权限
首次启用 IAM Identity Center 后,它会自动配置 Identity Center 目录作为您的默认身份源,因此您无需选择身份源。如果您的组织使用其他身份提供商,例如 Amazon Directory Service for Microsoft Active DirectoryMicrosoft Entra ID、或,Okta请考虑将该身份源与 IAM Identity Center 集成,而不是使用默认配置。
目标
在本教程中,您将使用默认目录作为身份源,并设置和测试用户访问权限。在此方案中,您将在 IAM Identity Center 管理所有用户和组。用户通过 Amazon Web Services 访问门户登录。本教程适用于刚接触 IAM Amazon 或一直在使用 IAM 管理用户和群组的用户。在接下来的步骤中,您将创建以下内容:
-
名为
Nikki Wolf的管理用户 -
名为
Admin team的组 -
名为的权限集
AdminAccess
要验证所有内容是否正确创建,您需要登录并设置管理员用户的密码。完成本教程后,您可以使用此管理用户在 IAM Identity Center 中添加更多用户、创建其他权限集以及设置对应用程序的组织访问权限。
如果您尚未启用 IAM Identity Center,请参阅 启用 Amazon IAM Identity Center。
请执行以下任一操作,登录 Amazon Web Services Management Console。
-
Amazon (root 用户)新手 — 以账户所有者的身份登录,方法是选择 Amazon Web Services 账户 root 用户并输入您的 Amazon Web Services 账户 电子邮件地址。在下一页上,输入您的密码。
-
已在使用 Amazon (IAM 证书)— 使用具有管理权限的 IAM 凭证登录。
-
在 IAM Identity Center 导航窗格,选择用户,然后选择添加用户。
-
在指定用户详细信息页面,填写以下信息:
-
用户名 - 在本教程中,输入
nikkiw。创建用户时,请选择易于记忆的用户名。用户必须记住用户名才能登录 Amazon Web Services 访问门户,您此后无法更改该用户名。
-
密码 - 选择向该用户发送包含密码设置说明的电子邮件(推荐)。
此选项向用户发送一封来自 Amazon Web Services 的电子邮件,其主题行是 “邀请加入 IAM 身份中心”( Amazon 单点登录的继任者)。电子邮件发自
no-reply@signin.aws或no-reply@login.awsapps.com。将这些电子邮件地址添加到您允许的发件人列表中。 -
电子邮件地址 - 输入用户电子邮件地址,您可以通过该地址接收电子邮件。然后,再次输入以确认。每个用户的电子邮件地址必须唯一。
-
名字 - 输入用户的名字。在本教程中,请输入
Nikki。 -
姓氏 - 输入用户姓氏。在本教程中,请输入
Wolf。 -
显示名称 - 默认值为用户的名字和姓氏。如果要更改显示名称,可以输入不同的名称。显示名称会显示在登录门户和用户列表中。
-
如果需要,请填写可选信息。本教程不会用到它们,您可以稍后更改。
-
-
选择下一步。此时将出现将用户添加到组页面。我们将创建一个组来分配管理权限,而不是将其直接授予
Nikki。选择创建组。
此时将打开一个新的浏览器选项卡,以显示创建组页面。
-
在组详细信息下的组名称中,输入组的名称。我们建议输入一个能表明组角色的组名称。在本教程中,请输入
Admin team。 -
选择创建组。
-
关闭组浏览器选项卡,返回添加用户浏览器选项卡
-
-
在组区域,选择刷新按钮。
Admin team组将显示在列表中。选中 “
管理员团队” 旁边的复选框,然后选择 “下一步”。 -
在查看并添加用户页面,确认以下信息:
-
主要信息会按您的预期显示
-
“组”显示已添加到您创建的组中的用户
如果需要进行更改,请选择编辑。如果所有详细信息都正确,选择添加用户。
此时将显示一条通知消息,告知您用户已添加。
-
接下来,您将为 Admin team 组添加管理权限,以便 Nikki 有权访问资源。
-
在 IAM Identity Center 导航窗格的多账户权限下,选择 Amazon Web Services 账户。
-
在 Amazon Web Services 账户 页面,组织结构将显示您的组织,您的账户将以分层结构列于其下方。选中您的管理帐户对应的复选框,然后选择分配用户或群组。
-
此时将显示分配用户和组工作流程。它包括三个步骤:
-
对于步骤 1:选择用户和组,选择您创建的
Admin team组。然后选择下一步。 -
对于步骤 2:选择权限集,选择创建权限集,以打开新的标签页,它将引导您完成创建权限集所涉及的三个子步骤。
-
对于步骤 1:选择权限集类型,请完成以下操作:
-
在权限集类型中,选择预定义权限集。
-
在预定义权限集的策略中,选择AdministratorAccess。
选择下一步。
-
-
对于步骤 2:指定权限集详细信息,保留默认设置,并选择下一步。
默认设置会创建名为
AdministratorAccess、会话持续时间设置为一小时的权限集。 -
对于 “步骤 3:查看并创建”,请验证权限集类型是否使用 Amazon 托管策略AdministratorAccess。选择 创建。权限集页面会显示通知,告知您权限集已创建。您可以在网络浏览器中关闭此标签页。
在分配用户和组浏览器标签页,您仍处于步骤 2:选择权限集,您将在这里启动创建权限集工作流程。
在权限集区域,选择刷新按钮。您创建的
AdministratorAccess权限集将出现在列表中。选中该权限集的复选框,然后选择 “下一步”。 -
-
在 “步骤 3:查看并提交作业” 页面上,确认已选择 “
管理员” 团队组并选择AdministratorAccess权限集,然后选择 “提交”。页面更新时会显示一条消息,告知您 Amazon Web Services 账户 正在配置中。等待该过程完成。
您将返回到该 Amazon Web Services 账户 页面。系统会显示一条通知消息,告知您 Amazon Web Services 账户 已重新配置您的权限集,并且已应用更新的权限集。
-
恭喜您!
您已成功设置第一个用户、组和权限集。
在本教程的下一部分中,您将使用 Nikki 的管理凭据登录 Amazon Web Services 访问门户并设置他们的密码来测试 Nikki 的访问权限。现在,注销控制台。
现在,Nikki Wolf 已成为您组织中的用户,可以登录并根据权限集访问其有权访问的资源。要验证用户配置是否正确,在下一步中,您将使用 Nikki 的凭证登录,并为其设置密码。在步骤 1 中添加用户 Nikki Wolf 时,您选择让 Nikki 接收包含密码设置说明的电子邮件。现在,您可以打开该电子邮件,并执行以下操作:
-
在电子邮件中,选择接受邀请链接,以接受邀请。
注意
该电子邮件还包含
Nikki的用户名以及用于登录组织的 Amazon Web Services 访问门户 URL。记录这些信息,以供将来使用。您将转到新用户注册页面,您可以在其中设置
Nikki的密码。 -
设置
Nikki的密码后,您将转到登录页面。输入nikkiw,选择下一步,然后输入Nikki 的密码,选择登录。 -
Amazon Web Services 访问门户打开,显示您可以访问的组织和应用程序。
选择组织将其展开为列表, Amazon Web Services 账户 然后选择该帐户以显示可用于访问该账户中资源的角色。
每个权限集都有两种可供您使用的管理方法,即角色密钥或访问密钥。
-
例如,角色
AdministratorAccess-打开 Amazon Web Services Console Home。 -
访问密钥-提供可用于 Amazon CLI 或和 Amazon SDK 的凭据。包含会自动刷新的短期凭证或短期访问密钥的使用信息。有关更多信息,请参阅 获取 Amazon CLI 或 Amazon 软件开发工具包的 IAM Identity Center 用户证书。
-
-
选择 “角色” 链接以登录 Amazon Web Services Console Home。
您已登录并导航到该 Amazon Web Services Console Home 页面。浏览控制台,并确认您拥有预期的访问权限。
现在,您已经在 IAM Identity Center 创建了管理用户,您可以:
在您的用户接受激活账户的邀请并登录 Amazon Web Services 访问门户后,门户中显示的项目仅限于分配给他们的 Amazon Web Services 账户、角色和应用程序。
重要
我们建议您对用户启用多重身份验证 (MFA)。有关更多信息,请参阅 Identity Center 用户的多重身份验证。