本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在权限集中使用 IAM 策略
在 创建权限集 中,您学习了如何向权限集添加策略,包括客户管理型策略和权限边界。当您将客户管理型策略和权限添加到权限集时,IAM Identity Center 不会在任何 Amazon Web Services 账户中创建策略。相反,您必须在要分配权限集的每个账户中提前创建这些策略,并将它们与权限集的名称和路径规范相匹配。当您将权限集分配给组织 Amazon Web Services 账户 中的时,IAM Identity Center 会创建一个 Amazon Identity and Access Management (IAM) 角色并将您的 IAM 策略附加到该角色。
注意
在使用 IAM policy 分配权限集之前,您必须准备好您的成员账户。您的成员账户中的 IAM policy 名称必须与您的管理账户中的策略名称区分大小写。如果您的成员账户中不存在权限集,IAM Identity Center 将无法分配权限集。
策略授予的权限不必在账户之间完全匹配。
将 IAM policy 分配给权限集
-
在您要分配权限集的每个 Amazon Web Services 账户 位置中创建一个 IAM 策略。
-
向 IAM policy 分配权限。您可以在不同的账户中分配不同的权限。为了获得一致的体验,请在每个策略中配置和维护相同的权限。您可以使用自动化资源,例如 Amazon CloudFormation StackSets 在每个成员账户中创建具有相同名称和权限的 IAM 策略的副本。有关的更多信息 CloudFormation StackSets,请参阅《Amazon CloudFormation 用户指南》 Amazon CloudFormation StackSets中的 “使用”。
-
在您的管理账户中创建权限集,并在客户管理型策略或权限边界下添加您的 IAM policy。有关如何创建权限集的更多详细信息,请参阅 创建权限集。
-
添加您准备的所有内联策略、 Amazon 托管式策略或其他 IAM policy。
-
创建并分配您的权限集。