创建权限集 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建权限集

使用此过程创建使用单个 Amazon 托管式策略的预定义权限集,或者创建使用多达 10 个 Amazon 托管式策略或客户托管式策略和内联策略的自定义权限集。您可以在 IAM 的 服务限额控制台中请求调整 10 个策略的最大数量。

您可以在 IAM Identity Center 控制台中创建权限集。

创建权限集

  1. 打开 IAM Identity Center 控制台

  2. 多账户权限下,选择权限集

  3. 选择 Create permission set (创建权限集合)

  4. 选择权限集类型页面的权限集类型下,选择权限集类型。

  5. 根据权限集类型,选择一个或多个要用于权限集的策略:

    • 预定义的权限集

      1. 选择下一步

      2. 预定义策略下,选择列表中的 IAM 工作职能策略通用权限策略之一,然后选择下一步。有关更多信息,请参阅 Amazon Identity and Access Management 用户指南 中的 工作职能的Amazon 托管式策略Amazon 托管式策略

      3. 查看并创建屏幕上,查看您所做的选择,然后选择创建

    • 自定义权限集

      1. 选择下一步

      2. 指定策略页面上,选择要应用于新权限集的 IAM policy 类型。默认情况下,您可以将多达 10 个 Amazon 托管式策略客户托管式策略的任意组合添加到您的权限集中。此限额由 IAM 设置。要提高该权限,请在每个要分配权限集 Amazon Web Services 账户 的地方的 Service Quotas 控制台中请求增加附加到 IAM 角色的 IAM 配额托管策略

        • 扩展Amazon 托管策略以添加来自 IAM 的 Amazon 构建和维护策略。有关更多信息,请参阅 Amazon 托管策略

          1. 在权限集中搜索并选择要应用于用户的 Amazon 托管式策略

          2. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步

        • 扩展客户管理型策略以添加您构建和维护的 IAM 中的策略。有关更多信息,请参阅 客户托管策略

          1. 选择附加策略,然后输入要添加到权限集的策略的名称。在要向其分配权限集的每个账户中,使用您输入的名称创建策略。最佳做法是为每个账户中的策略分配相同的权限。

          2. 选择附加更多以添加其他策略。

          3. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步

        • 展开自定义内联策略以添加自定义 JSON 格式的策略文本。内联策略与现有的 IAM 资源不对应。要创建内联策略,请在提供的表单中输入自定义策略语言。IAM Identity Center 会将策略添加到它在您的成员账户中创建的 IAM 资源中。有关更多信息,请参阅 内联策略

          1. 选择设计,使用交互式编辑器选择要包含在内联策略中的权限。选择要粘贴到预格式化策略 JSON 中的代码

          2. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步

        • 展开权限边界,将 Amazon 托管或客户托管的 IAM 策略添加为权限集中的其他策略可以分配的最大权限。有关更多信息,请参阅 权限边界

          1. 选择使用权限边界控制最大权限

          2. 选择 Amazon 托管式策略来设置来自 IAM 的策略,该策略将 Amazon 构建和维护作为您的权限边界。选择客户管理型策略,从 IAM 中设置一个由构建和维护的策略作为权限边界。

          3. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步

  6. 指定堆栈详细信息 页面中,请执行以下操作:

    1. 权限集名称 下,键入一个名称以在 IAM Identity Center 中标识此权限集。您为此权限集指定的名称作为可用角色出现在 Amazon Web Services 访问门户中。用户登录 Amazon Web Services 访问门户,选择一个 Amazon Web Services 账户,然后选择角色。

    2. (可选)您也可以键入描述。描述仅显示在 IAM Identity Center 控制台中,不显示在 Amazon Web Services 访问门户中。

    3. (可选)指定会话持续时间的值。该值确定用户在控制台注销其会话之前可以登录的时间长度。有关更多信息,请参阅 设置会话持续时间

    4. (可选)指定中继状态的值。此值在联合身份验证过程中用于重定向账户中的用户。有关更多信息,请参阅 设置中继状态

      注意

      中继状态 URL 必须在 Amazon Web Services Management Console中。例如:

      https://console.aws.amazon.com/ec2/

    5. 展开标签(可选),选择添加标签,然后为密钥值(可选)指定值。

      有关标签的信息,请参阅 为 Amazon IAM Identity Center 资源添加标签

    6. 选择下一步

  7. 查看并创建页面上,查看您所做的选择,然后选择创建

  8. 默认情况下,当您创建权限集时,不会配置该权限集(用于任何权限集 Amazon Web Services 账户)。要在中配置权限集 Amazon Web Services 账户,您必须为账户中的用户和群组分配 IAM Identity Center 访问权限,然后将该权限集应用于这些用户和群组。有关更多信息,请参阅 单点登录访问权限 Amazon Web Services 账户