本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为群组分配 Amazon Web Services 账户 访问权限
在 IAM Identity Center 中创建了管理用户并创建了可用于执行权限最低的任务的其他权限集之后,您可以 Amazon Web Services 账户 向用户组提供访问权限。
我们建议您将访问权限直接分配给组而不是单个用户。例如,如果您基于组织单位创建组和权限集,将用户移至不同的组织单位时,您只需将该用户移至不同的组,他们将自动获得新组织单位所需的权限,并失去先前组织单位的权限。
将用户组访问权限分配给 Amazon Web Services 账户
-
注意
如果您的身份源是,请确 Amazon Managed Microsoft AD 保 IAM Identity Center 控制台使用的是您的 Amazon Managed Microsoft AD 目录所在的区域,然后再继续下一步操作。
-
在导航窗格的多账户权限下,选择 Amazon Web Services 账户。
-
在 Amazon Web Services 账户 页面上,将显示您的组织的树视图列表。选中要为其分配单点登录访问权限的一个或多个 Amazon Web Services 账户 旁边的复选框。
注意
Amazon Web Services 账户 每个权限集最多可以选择 10 个。
-
选择分配用户或组。
-
对于步骤 1:选择用户和组,在将用户和组分配给“
Amazon-account-name”页面,选择组选项卡,然后选择一个或多个组。要筛选结果,请开始在搜索框中键入所需组的名称。
要显示您选择的组,请选择选定的用户和组旁边的横向三角形。
确认选择了正确的组后,选择下一步。
-
对于步骤 2:选择权限集,在将权限集分配给“
Amazon-account-name”页面,选择一个或多个权限集注意
如果在开始此过程之前,您没有创建所需的权限集,请选择创建权限集,然后按照 创建权限集 中的步骤进行操作。创建要应用的权限集后,在 IAM Identity Center 控制台中,返回到 Amazon Web Services 账户 并按照说明进行操作,直到进入步骤 2:选择权限集。完成此步骤后,选择您创建的新权限集,然后继续执行此过程的下一步。
确认选择了正确的权限集后,选择下一步。
-
对于步骤 3:查看并提交,在查看任务并将其提交到“
Amazon-account-name”页面上,执行以下操作:-
查看选定的组和权限集。
-
确认选择了正确的组和权限集之后,选择提交。
重要
组的分配过程可能需要几分钟才能完成。等到此过程成功完成再关闭该页面。
注意
您可能需要向用户或群组授予使用 Amazon Organizations 管理账户进行操作的权限。由于它是高权限账户,因此其他安全限制要求您先拥有 IAM FullAccess
策略或同等权限,然后才能进行设置。您 Amazon 组织中的任何成员账户都不需要这些额外的安全限制。
-
或者,您可以使用 Amazon CloudFormation 创建和分配权限集,并将这些权限集分配给用户。然后,用户可以登录 Amazon 访问门户或使用 Amazon Command Line Interface (Amazon CLI) 命令。