本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
委派谁可以为管理账号中的用户和组分配单点登录访问权限
使用 IAM Identity Center 控制台为主帐户分配单点登录访问管理帐户的权限。默认情况下,只有附加 Amazon Web Services 账户根用户 了AmazonSSOMasterAccountAdministrator和IAMFullAccess Amazon 托管策略的用户才能向管理账户分配单点登录访问权限。AmazonSSOMasterAccountAdministrator和IAMFullAccess策略管理对 Amazon Organizations 组织内管理账户的单点登录访问权限。
或者,您可以 Amazon CLI 使用创建、附加策略和分配权限集。以下列出了每个步骤的命令:
-
要创建权限集,请执行以下操作:create-permission-set
-
要附加 Amazon Managed Policy到权限集,请执行以下操作:attach-managed-policy-to-permission- set
-
要将客户托管策略附加到权限集,请执行以下操作:attach-customer-managed-policy-to-permission-set
-
要将权限集分配给委托人,请执行以下操作:create-account-assignment
使用以下步骤委派权限来管理您的目录中用户和组的单点登录访问权限。
授予权限来管理您的目录中的用户和组的单点登录访问权限
-
以管理帐户的根用户身份或具有管理员权限的另一个管理用户的身份登录到 IAM Identity Center 控制台。
-
按照 创建权限集 中的步骤创建权限集,然后执行以下操作:
-
在创建新权限集页面上,选中创建自定义权限集复选框,然后选择下一步:详细信息。
-
在“创建新权限集”页面上,指定自定义权限集的名称和描述(可选)。如有需要,可以修改会话持续时间并指定中继状态 URL。
注意
对于中继状态 URL,必须指定位于 Amazon Web Services Management Console中的 URL 。例如:
https://console.aws.amazon.com/ec2/有关更多信息,请参阅 设置中继状态以便快速访问 Amazon Web Services Management Console。
-
在您要在权限集中包含哪些策略?下,选中附加 Amazon 管理型策略复选框。
-
在 IAM 策略列表中,选择AWSSSOMasterAccountAdministrator和IAMFullAccess Amazon 托管策略。这些策略向以后将拥有此权限集的访问权限的任何用户和组授予权限。
-
选择下一步:标签。
-
在添加标签(可选)下,指定密钥和值(可选)的值,然后选择下一步:查看。有关标签的更多信息,请参阅 为资源添加标签 Amazon IAM Identity Center。
-
检查您的选择,然后选择创建。
-
-
按照 向用户或组分配权限以访问 Amazon Web Services 账户 中的步骤将相应的用户和组分配给您刚刚创建的权限集。
-
向已分配的用户传送以下信息:当已分配的用户登录 Amazon Web Services 访问门户并选择账户选项卡时,必须选择适当的角色名以使用刚委派的权限进行身份验证。