本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
委派谁可以为管理账号中的用户和组分配单点登录访问权限
使用 Ident IAM ity Center 控制台为管理账户分配单点登录访问权限是一项特权操作。默认情况下,只有一个 Amazon Web Services 账户根用户 或一个拥有 AmazonSSOMasterAccountAdministrator 和 IAMFullAccess Amazon 附加的托管策略可以为管理账户分配单点登录访问权限。这些区域有:AmazonSSOMasterAccountAdministrator 和 IAMFullAccess策略管理对 Amazon Organizations 组织内管理帐户的单点登录访问权限。
或者,您可以使用 Amazon CLI 创建权限集、将策略附加到权限集和分配权限集。以下列出了每个步骤的命令:
-
要创建权限集,请执行以下操作:create-permission-set
-
要附上 Amazon Managed Policy 到权限集:attach-managed-policy-to-permission- set
-
要将客户托管策略附加到权限集,请执行以下操作:attach-customer-managed-policy-to-permission-set
-
要将权限集分配给委托人,请执行以下操作:create-account-assignment
使用以下步骤委派权限来管理您的目录中用户和组的单点登录访问权限。
授予权限来管理您的目录中的用户和组的单点登录访问权限
-
以管理账户的 root 用户或具有管理账户管理员权限的其他用户IAM身份登录 Identity Center 控制台。
-
按照 创建权限集 中的步骤创建权限集,然后执行以下操作:
-
在创建新权限集页面上,选中创建自定义权限集复选框,然后选择下一步:详细信息。
-
在“创建新权限集”页面上,指定自定义权限集的名称和描述(可选)。如果需要,可以修改会话持续时间并指定中继状态URL。
注意
对于中继状态URL,必须指定处于URL中继状态的 Amazon Web Services Management Console。例如:
https://console.aws.amazon.com/ec2/
有关更多信息,请参阅 设置中继状态以便快速访问 Amazon Web Services Management Console。
-
在您要在权限集中包含哪些策略?下,选中附加 Amazon 管理型策略复选框。
-
在IAM策略列表中,同时选择 AWSSSOMasterAccountAdministrator 和 IAMFullAccess Amazon 托管策略。这些策略向以后将拥有此权限集的访问权限的任何用户和组授予权限。
-
选择下一步:标签。
-
在添加标签(可选)下,指定密钥和值(可选)的值,然后选择下一步:查看。有关标签的更多信息,请参阅 为 Amazon IAM Identity Center 资源添加标签。
-
检查您的选择,然后选择创建。
-
-
按照 将用户访问权限分配给 Amazon Web Services 账户 中的步骤将相应的用户和组分配给您刚刚创建的权限集。
-
向已分配的用户传送以下信息:当已分配的用户登录 Amazon Web Services 访问门户并选择账户选项卡时,必须选择适当的角色名以使用刚委派的权限进行身份验证。