创建权限集 - Amazon IAM Identity Center
创建应用最低权限的权限集
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建权限集

权限集存储在 IAM Identity Center 中,定义用户和组对 Amazon Web Services 账户的访问级别。您最先创建的权限集应该是管理权限集。如果您完成了任意一套 入门教程,则表示您已经创建了管理权限集。按《IAM 用户指南》工作职能的Amazon 托管策略主题所述,使用此过程创建权限集。

  1. 请执行以下任一操作,登录 Amazon Web Services Management Console。

    • Amazon (root 用户)新手-选择 R oot 用户并输入您的 Amazon Web Services 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。

    • 已在使用 Amazon (IAM 证书)— 使用具有管理权限的 IAM 凭证登录。

  2. 打开 IAM Identity Center 控制台

  3. 在 IAM Identity Center 导航窗格的多账户权限下,选择权限集

  4. 选择创建权限集

    1. 选择权限集类型页面的权限集类型部分,选择预定义的权限集

    2. 预定义权限集的策略部分,选择以下选项之一:

      • AdministratorAccess

      • Billing

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. 指定权限集详细信息页面上,保留默认设置并选择下一步。默认设置将您的会话限制为一小时。

  6. 查看并创建页面上,确认以下信息:

    1. 对于 “步骤 1:选择权限集类型”,显示您选择的权限集类型。

    2. 对于 “步骤 2:定义权限集详细信息”,显示您选择的权限集的名称。

    3. 选择 创建

创建应用最低权限的权限集

要遵循应用最低权限的最佳实践,请在创建管理权限集之后,创建一个限制性更强的权限集并将其分配给一个或多个用户。在之前过程中创建的权限集将提供一个起点,让您评估为用户访问所需的资源分配多少访问权限。要切换到最低权限,您可以运行 IAM Access Analyzer,以使用 Amazon 托管策略监控主体。了解他们使用的权限后,您可以编写自定义策略或生成仅包含团队所需权限的策略。

借助 IAM Identity Center,您可以为同一个用户分配多个权限集。您还应该为管理用户分配其他限制性更强的权限集。这样,他们就可以仅 Amazon Web Services 账户 凭所需的权限访问您的,而不必总是使用他们的管理权限。

例如,如果您是一名开发人员,在 IAM Identity Center 中创建管理用户后,您可以创建一个授予 PowerUserAccess 权限的新权限集,然后将该权限集分配给您自己。与使用权限的管理权限集不同,该AdministratorAccessPowerUserAccess 权限集不允许管理 IAM 用户和群组。当你登录 Amazon 访问门户访问你的 Amazon 账户时,你可以选择PowerUserAccess而不是在AdministratorAccess账户中执行开发任务。

请注意以下事项:

  • 要快速开始创建限制性更强的权限集,请使用预定义的权限集而不是自定义权限集。

    使用使用预定义权限的预定义权限集,您可以从可用策略列表中选择单个 Amazon 托管策略。每项策略都授予对 Amazon 服务和资源的特定级别的访问权限或对常见工作职能的权限。有关每项策略的信息,请参阅针对工作职能的Amazon 管理型策略

  • 您可以为权限集配置会话持续时间,以控制用户登录 Amazon Web Services 账户的时间长度。

    当用户联合到他们的管理控制台或命令行界面 (CLI) Amazon Web Services 账户 并使用 Amazon 管理控制台或 Amazon 命令行界面 (Amazon CLI) 时,IAM Identity Center 会使用权限集上的会话持续时间设置来控制会话的持续时间。默认情况下,“会话持续时间” 的值设置为一小时,该值决定了用户在退出会话 Amazon Web Services 账户 之前 Amazon 可以登录的时间长度。可以指定的最大值为 12 小时。有关更多信息,请参阅 设置会话持续时间

  • 您还可以配置 Amazon 访问门户会话持续时间以控制员工用户登录门户的时间长度。

    默认情况下,“最大会话持续时间” 的值为八小时,该值决定了员工用户在必须重新进行身份验证之前可以登录 Amazon 访问门户的时间长度。可以将最大值指定为 90 天。有关更多信息,请参阅 配置 Amazon Web Services 访问门户和 IAM Identity Center 集成应用程序的会话持续时间

  • 登录 Amazon 访问门户时,选择提供最低权限权限的角色。

    您创建并分配给用户的每个权限集在 Amazon 访问门户中显示为可用角色。当您以该用户身份登录门户时,请选择与可用于在账户中执行任务的最严格的权限集相对应的角色,而不是 AdministratorAccess

  • 您可以将其他用户添加到 IAM Identity Center,并为这些用户分配现有或新的权限集。

    有关信息,请参阅为群组分配 Amazon Web Services 账户 访问权限