为 IAM 身份中心用户分配 Amazon Web Services 账户 访问权限 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 IAM 身份中心用户分配 Amazon Web Services 账户 访问权限

要为 IAM Identity Center 用户设置 Amazon Web Services 账户 访问权限,您必须将该用户分配到 Amazon Web Services 账户 和权限集。

  1. 请执行以下任一操作,登录 Amazon Web Services Management Console。

    • Amazon (root 用户)新手-选择 R oot 用户并输入您的 Amazon Web Services 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。

    • 已在使用 Amazon (IAM 证书)— 使用具有管理权限的 IAM 凭证登录。

  2. 打开 IAM Identity Center 控制台

  3. 在导航窗格的多账户权限下,选择 Amazon Web Services 账户

  4. Amazon Web Services 账户 页面上,将显示贵组织的树状视图列表。选中要为其分配访问权限的 Amazon Web Services 账户 旁边的复选框。如果您要为 IAM Identity Center 设置管理访问权限,请选中管理账户旁边的复选框。

  5. 选择分配用户或组

  6. 对于 “步骤 1:选择用户和组”,在 “将用户和组分配给 “Amazon Web Services 账户 名称 页面上,执行以下操作:

    1. 用户选项卡上,选择要向其授予管理权限的用户。

      要筛选结果,请开始在搜索框中键入所需用户的姓名。

    2. 确认选择正确的用户后,选择下一步

  7. 对于 “步骤 2:选择权限集”,在 “将权限集分配给 “Amazon Web Services 账户 名称 页面的 “权限集” 下,选择一个权限集以定义用户和组对此的访问级别 Amazon Web Services 账户。

  8. 选择下一步

  9. 对于步骤 3:审阅并提交,在查看作业并将其提交到 “Amazon Web Services 账户 姓名 页面上,执行以下操作:

    1. 查看选定的用户和权限集。

    2. 确认已为权限集分配了正确的用户后,选择 “提交”。

      重要

      用户分配过程可能需要几分钟才能完成。等到此过程成功完成再关闭该页面。

  10. 如果符合以下任一条件,请按照 提示用户完成 MFA 中的步骤为 IAM Identity Center 启用 MFA:

    • 您正在使用默认的 Identity Center 目录作为身份源。

    • 您使用的是 Active Directory 中的 Amazon Managed Microsoft AD 目录或自我管理目录作为身份源,但没有将 RADIUS M Amazon Directory Service FA 与一起使用。

    注意

    如果您正在使用外部身份提供商,请注意由外部 IdP(而不是 IAM Identity Center)管理 MFA 设置。外部不支持使用 IAM 身份中心中的 MFA。 IdPs

当您为管理用户设置账户访问权限时,IAM Identity Center 会创建相应的 IAM 角色。此角色由 IAM Identity Center 控制 Amazon Web Services 账户,在相关版本中创建,权限集中指定的策略将附加到该角色。