本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建权限集
使用此过程创建使用单个 Amazon 托管式策略的预定义权限集,或者创建使用多达 10 个 Amazon
托管式策略或客户托管式策略和内联策略的自定义权限集。您可以在 IAM 的 服务限额控制台
您可以在 IAM Identity Center 控制台中创建权限集。
创建权限集
-
在多账户权限下,选择权限集。
-
选择 Create permission set (创建权限集合)。
-
在选择权限集类型页面的权限集类型下,选择权限集类型。
-
根据权限集类型,选择一个或多个要用于权限集的策略:
-
预定义的权限集
-
选择下一步。
-
在预定义策略下,选择列表中的 IAM 工作职能策略或通用权限策略之一,然后选择下一步。有关更多信息,请参阅 Amazon Identity and Access Management 用户指南 中的 工作职能的Amazon 托管式策略 和 Amazon 托管式策略。
-
在查看并创建屏幕上,查看您所做的选择,然后选择创建。
-
-
自定义权限集
-
选择下一步。
-
在指定策略页面上,选择要应用于新权限集的 IAM policy 类型。默认情况下,您可以将多达 10 个 Amazon 托管式策略和客户托管式策略的任意组合添加到您的权限集中。此限额由 IAM 设置。要提高该权限,请在每个要分配权限集 Amazon Web Services 账户 的地方的 Service Quotas 控制台中请求增加附加到 IAM 角色的 IAM 配额托管策略。
-
扩展Amazon 托管策略以添加来自 IAM 的 Amazon 构建和维护策略。有关更多信息,请参阅 Amazon 托管策略。
-
在权限集中搜索并选择要应用于用户的 Amazon 托管式策略。
-
如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步。
-
-
扩展客户管理型策略以添加您构建和维护的 IAM 中的策略。有关更多信息,请参阅 客户托管策略。
-
选择附加策略,然后输入要添加到权限集的策略的名称。在要向其分配权限集的每个账户中,使用您输入的名称创建策略。最佳做法是为每个账户中的策略分配相同的权限。
-
选择附加更多以添加其他策略。
-
如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步。
-
-
展开自定义内联策略以添加自定义 JSON 格式的策略文本。内联策略与现有的 IAM 资源不对应。要创建内联策略,请在提供的表单中输入自定义策略语言。IAM Identity Center 会将策略添加到它在您的成员账户中创建的 IAM 资源中。有关更多信息,请参阅 内联策略。
-
选择设计,使用交互式编辑器选择要包含在内联策略中的权限。选择要粘贴到预格式化策略 JSON 中的代码。
-
如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步。
-
-
展开权限边界,将 Amazon 托管或客户托管的 IAM 策略添加为权限集中的其他策略可以分配的最大权限。有关更多信息,请参阅 权限边界。
-
选择使用权限边界控制最大权限。
-
选择 Amazon 托管式策略来设置来自 IAM 的策略,该策略将 Amazon 构建和维护作为您的权限边界。选择客户管理型策略,从 IAM 中设置一个由您构建和维护的策略作为权限边界。
-
如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择下一步。
-
-
-
-
-
在 指定堆栈详细信息 页面中,请执行以下操作:
-
在权限集名称 下,键入一个名称以在 IAM Identity Center 中标识此权限集。您为此权限集指定的名称作为可用角色出现在 Amazon Web Services 访问门户中。用户登录 Amazon Web Services 访问门户,选择一个 Amazon Web Services 账户,然后选择角色。
-
(可选)您也可以键入描述。描述仅显示在 IAM Identity Center 控制台中,不显示在 Amazon Web Services 访问门户中。
-
(可选)指定会话持续时间的值。该值确定用户在控制台注销其会话之前可以登录的时间长度。有关更多信息,请参阅 设置会话持续时间。
-
(可选)指定中继状态的值。此值在联合身份验证过程中用于重定向账户中的用户。有关更多信息,请参阅 设置中继状态。
注意
中继状态 URL 必须在 Amazon Web Services Management Console中。例如:
https://console.aws.amazon.com/ec2/
-
展开标签(可选),选择添加标签,然后为密钥和值(可选)指定值。
有关标签的信息,请参阅 为 Amazon IAM Identity Center 资源添加标签。
-
选择下一步。
-
-
在查看并创建页面上,查看您所做的选择,然后选择创建。
-
默认情况下,当您创建权限集时,不会配置该权限集(用于任何权限集 Amazon Web Services 账户)。要在中配置权限集 Amazon Web Services 账户,您必须为账户中的用户和群组分配 IAM Identity Center 访问权限,然后将该权限集应用于这些用户和群组。有关更多信息,请参阅 单点登录访问权限 Amazon Web Services 账户。