管理访问权限 Amazon Web Services 账户 - Amazon IAM Identity Center
Amazon Web Services 账户 类型 分配 Amazon Web Services 账户 访问权限 最终用户体验强制和限制访问权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理访问权限 Amazon Web Services 账户

Amazon IAM Identity Center 与集成 Amazon Organizations,这使您 Amazon Web Services 账户 无需手动配置每个帐户即可集中管理多个帐户的权限。您可以定义权限并将这些权限分配给员工用户,以控制他们对特定权限的访问权限 Amazon Web Services 账户。

Amazon Web Services 账户 类型

有两种类型 Amazon Web Services 账户 的 Amazon Organizations:

  • 管理账户-用于创建组织的账户。 Amazon Web Services 账户

  • 成员账户- Amazon Web Services 账户 属于组织的其余账户。

有关 Amazon Web Services 账户 类型的更多信息,请参阅Amazon Organizations 用户指南中的Amazon Organizations 术语和概念

您也可以选择将成员账户注册为 IAM Identity Center 的委派管理员。此账户中的用户可以执行大多数 IAM Identity Center 管理任务。有关更多信息,请参阅 委派管理

对于每种任务和账户类型,下表指明了账户中的用户是否可以执行 IAM Identity Center 管理任务。

IAM Identity Center 管理任务 成员账户 委托管理员账户 管理账户
读取用户或组(阅读组本身和组的成员资格)
添加、编辑或删除用户或组
启用或禁用用户访问权限
启用、禁用或管理传入属性
更改或管理身份源
创建、编辑或删除应用程序
配置 MFA
管理管理账户中未配置的权限集
管理管理账户中已配置的权限集
启用 IAM Identity Center
删除 IAM Identity Center 配置
在管理账户中启用或禁用用户访问权限
将成员账户作为委派管理员注册或取消注册

分配 Amazon Web Services 账户 访问权限

您可以使用权限集来简化向组织中的用户和组分配 Amazon Web Services 账户访问权限的方式。权限集存储在 IAM Identity Center 中,定义用户和组对 Amazon Web Services 账户的访问级别。您可以创建单个权限集并将其分配给组织 Amazon Web Services 账户 内的多个权限集。您也可以将多个权限集分配给同一个用户。

有关权限集的更多信息,请参阅创建、管理和删除权限集

注意

您还可以为用户分配对应用程序的单点登录访问权限。有关信息,请参阅 管理对应用程序的访问

最终用户体验

Amazon Web Services 访问门户为 IAM Identity Center 用户提供通过门户网站对其分配的所有应用程序 Amazon Web Services 账户 和应用程序的单点登录访问权限。 Amazon Web Services 访问门户不同于 Amazon Web Services Management Console,后者是一组用于管理 Amazon 资源的服务控制台。

创建权限集时,您为该权限集指定的名称会作为可用角色出现在 Amazon Web Services 访问门户中。用户登录 Amazon Web Services 访问门户,选择一个 Amazon Web Services 账户,然后选择角色。选择角色后,他们可以使用访问 Amazon 服务 Amazon Web Services Management Console 或检索临时凭证以编程方式访问 Amazon 服务。

要打开 Amazon Web Services Management Console 或检索临时凭证以 Amazon 编程方式进行访问,用户需要完成以下步骤:

  1. 用户打开浏览器窗口,使用您提供的登录 URL 导航到 Amazon Web Services 访问门户。

  2. 他们使用其目录凭据登录 Amazon Web Services 访问门户。

  3. 身份验证后,在 Amazon Web Services 访问门户页面上,他们选择 “帐户” 选项卡 Amazon Web Services 账户 以显示他们有权访问的列表。

  4. 然后,用户选择 Amazon Web Services 账户 他们想要使用的。

  5. 在的名称下方 Amazon Web Services 账户,分配给用户的所有权限集都显示为可用角色。例如,如果您john_stiles为用户分配了PowerUser权限集,则该角色在 Amazon Web Services 访问门户中显示为PowerUser/john_stiles。分配有多个权限集的用户选择要使用的角色。用户可以选择自己的角色来访问 Amazon Web Services Management Console。

  6. 除角色外, Amazon Web Services 访问门户用户还可以通过选择访问密钥来检索命令行或编程访问的临时证书。

有关您可以向员工用户提供的 step-by-step 指导,请参阅使用 Amazon Web Services 访问门户获取 Amazon CLI 或 Amazon 软件开发工具包的 IAM Identity Center 用户证书

强制和限制访问权限

启用 IAM Identity Center 后,IAM Identity Center 会创建一个与服务相关的角色。您还可以在服务控制策略(SCP)中使用。

委派和强制访问权限

服务相关角色是一种直接链接到 Amazon 服务的 IAM 角色。启用 IAM Identity Center 后,IAM Identity Center 可以在组织 Amazon Web Services 账户 中的每个角色中创建一个服务相关角色。此角色提供预定义的权限,允许 IAM Identity Center 委派和强制执行哪些用户对组织 Amazon Web Services 账户 中的 Amazon Organizations特定用户具有单点登录访问权限。您需要分配一个或多个具有账户访问权限的用户,才能使用此角色。有关更多信息,请参阅 服务相关角色使用 IAM Identity Center 的服务相关角色

限制成员账户对身份存储的访问权限

对于 IAM Identity Center 使用的身份存储服务,有权访问成员账户的用户可以使用需要读取权限的 API 操作。成员账户有权访问 sso 目录identitystore 命名空间上的 读取操作。有关更多信息,请参阅《服务授权参考》中的Amazon IAM Identity Center 目录的操作、资源和条件密钥以及 Ident Amazon ity Store 的操作、资源和条件密钥

为防止成员账户中的用户在身份存储中使用 API 操作,您可以附加服务控制策略(SCP)。SCP 是一种组织策略,可用于管理组织中的权限。以下示例 SCP 阻止成员账户中的用户访问身份存储中的任何 API 操作。

        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": "identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
注意

限制成员账户的访问权限可能会影响启用 IAM Identity Center 的应用程序的功能。

有关更多信息,请参阅《Amazon Organizations 用户指南》中的服务控制策略(SCP)