本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 IAM Identity Center 中的服务相关角色
服务相关角色是预定义的 IAM 权限,以允许 IAM Identity Center 委派和强制执行哪些用户对您在 Amazon Organizations中的组织内的特定 Amazon Web Services 账户 帐户拥有单点登录访问权限。该服务通过在其组织 Amazon Web Services 账户 内的每个组织中配置一个与服务相关的角色来实现此功能。然后,该服务允许其他 Amazon 服务(例如 IAM Identity Center)利用这些角色来执行与服务相关的任务。有关更多信息,请参阅 Amazon Organizations 和服务相关角色。
当您启用 IAM Identity Center 时,IAM Identity Center 在 Amazon Organizations中的组织内的所有帐户中创建服务相关角色。IAM Identity Center 还会在随后添加到您的组织的每个帐户中创建相同的服务相关角色。此角色允许 IAM Identity Center 代表您访问每个帐户的资源。有关更多信息,请参阅 Amazon Web Services 账户 访问。
在每个角色中创建的服务相关角色 Amazon Web Services 账户 都被命名AWSServiceRoleForSSO。有关更多信息,请参阅 使用 IAM Identity Center 的服务相关角色。
备注
-
如果您登录了 Amazon Organizations 管理账户,则该账户将使用您当前登录的角色,而不是服务相关角色。这可以防止权限升级。
-
当 IAM Identity Center 在 Amazon Organizations 管理账户中执行任何 IAM 操作时,所有操作都将使用 IAM 委托人的证书进行。这样,登录 CloudTrail 即可查看谁在管理账户中进行了所有权限更改。