本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
单点登录访问权限 Amazon Web Services 账户
您可以 Amazon Organizations 根据常见的工作职能,将已连接目录中的用户分配给组织中的管理账户或成员账户的权限。或者,您可以使用自定义权限,以满足特定的安全需求。例如,您可以在开发账户中授予数据库管理员广泛的 Amazon RDS 权限,但限制其在生产账户中的权限。IAM Identity Center 自动在您的 Amazon Web Services 账户 账户中配置所有必要的用户权限。
注意
您可能需要向用户或群组授予使用 Amazon Organizations 管理账户进行操作的权限。由于它是高权限账户,因此其他安全限制要求您先拥有 IAM FullAccess
将用户访问权限分配给 Amazon Web Services 账户
使用以下过程为已连接目录中的用户和组分配单点登录访问权限,并使用权限集确定其访问级别。
要检查现有用户和群组的访问权限,请参阅查看用户和群组分配。
注意
为了简化访问权限的管理,建议您直接向组(而非各个用户)分配访问权限。通过组,您可以授予或拒绝用户组的权限,而不是必须为每个用户应用这些权限。如果用户移动到不同的组织,您只需将该用户移动到不同的组,他们会自动接收新组织所需的权限。
为用户或组分配访问权限 Amazon Web Services 账户
-
注意
确保 IAM Identity Center 控制台使用的区域是您的 Amazon Managed Microsoft AD 目录所在的区域,然后再继续执行下一步骤。
-
在导航窗格中的多账户权限下,选择 Amazon Web Services 账户。
-
在 Amazon Web Services 账户 页面上,将显示您的组织的树视图列表。选中您要为其分配单点登录访问权限的一个或多个 Amazon Web Services 账户 旁边的复选框。
注意
向用户和群组分配单点登录访问权限时,每个权限集一次最多可以选择 10 Amazon Web Services 账户 个。要向同一组用户和组分配 10 个 Amazon Web Services 账户 以上的用户,请根据需要为其他帐户重复此过程。出现提示时,选择相同的用户、组和权限集。
-
选择分配用户或组。
-
对于步骤 1:选择用户和组,在将用户和组分配给“
Amazon-account-name
”页面上,执行以下操作:-
在用户选项卡上,选择一个或多个要向其授予单点登录访问权限的用户。
要筛选结果,请开始在搜索框中键入所需用户的名称。
-
在组选项卡上,选择一个或多个要向其授予单点登录访问权限的组。
要筛选结果,请开始在搜索框中键入所需组的名称。
-
要显示您选择的用户和组,请选择选定的用户和组旁边的横向三角形。
-
确认选择了正确的用户和组后,选择下一步。
-
-
对于步骤 2:选择权限集,在将权限集分配给“
Amazon-account-name
”页面上,执行以下操作:-
选择一个或多个权限集。如有需要,您可以创建和选择新的权限集。
-
要选择一个或多个现有权限集,请在权限集下,选择要应用于在上一步中选择的用户和组的权限集。
-
要创建一个或多个新权限集,请选择创建权限集,然后按照 创建权限集 中的步骤操作。创建要应用的权限集后,在 IAM Identity Center 控制台中,返回到 Amazon Web Services 账户 并按照说明进行操作,直到进入步骤 2:选择权限集。完成此步骤后,选择您创建的新权限集,然后继续执行此过程的下一步。
-
-
确认选择了正确的权限集后,选择下一步。
-
-
对于步骤 3:查看并提交,在查看任务并将其提交到“
Amazon-account-name
”页面上,执行以下操作:-
查看选定的用户、组和权限集。
-
确认选择了正确的用户、组和权限集之后,选择提交。
重要
用户和组的分配过程可能需要几分钟才能完成。等到此过程成功完成再关闭该页面。
注意
您可能需要向用户或群组授予使用 Amazon Organizations 管理账户进行操作的权限。由于它是高权限账户,因此其他安全限制要求您先拥有 IAM FullAccess
策略或同等权限,然后才能进行设置。您 Amazon 组织中的任何成员账户都不需要这些额外的安全限制。
-
移除用户和组访问权限
使用此过程可以删除所连接目录中一个或多个用户和组 Amazon Web Services 账户 对的的单点登录访问权限。
删除用户和群组对的访问权限 Amazon Web Services 账户
-
在导航窗格的多账户权限下,选择 Amazon Web Services 账户。
-
在 Amazon Web Services 账户 页面上,将显示您的组织的树视图列表。选择 Amazon Web Services 账户 包含要删除其单点登录访问权限的用户和群组的名称。
-
在 “概述” 页面的 “分配的用户和组” 下 Amazon Web Services 账户,选择一个或多个用户或组的名称,然后选择 “移除访问权限”。
-
在移除访问权限对话框中,确认用户或组的名称是否正确,然后选择移除访问权限。
委派谁可以为管理账号中的用户和组分配单点登录访问权限
使用 IAM Identity Center 控制台为主账户分配单点登录访问管理账户的权限。默认情况下,只有附加 Amazon Web Services 账户根用户 了AmazonSSOMasterAccountAdministrator和IAMFullAccess Amazon 托管策略的用户才能向管理账户分配单点登录访问权限。AmazonSSOMasterAccountAdministrator和IAMFullAccess策略管理对 Amazon Organizations 组织内管理账户的单点登录访问权限。
使用以下步骤委派权限来管理您的目录中用户和组的单点登录访问权限。
授予权限来管理您的目录中的用户和组的单点登录访问权限
-
以管理账户的根用户身份或具有管理员权限的另一个管理用户的身份登录到 IAM Identity Center 控制台。
-
按照 创建权限集 中的步骤创建权限集,然后执行以下操作:
-
在创建新权限集页面上,选中创建自定义权限集复选框,然后选择下一步:详细信息。
-
在“创建新权限集”页面上,指定自定义权限集的名称和描述(可选)。如有需要,可以修改会话持续时间并指定中继状态 URL。
注意
对于中继状态 URL,必须指定位于 Amazon Web Services Management Console中的 URL 。例如:
https://console.aws.amazon.com/ec2/
有关更多信息,请参阅 设置中继状态。
-
在您要在权限集中包含哪些策略?下,选中附加 Amazon 托管式策略复选框。
-
在 IAM 策略列表中,选择AWSSSOMasterAccountAdministrator和IAMFullAccess Amazon 托管策略。这些策略向以后将拥有此权限集的访问权限的任何用户和组授予权限。
-
选择下一步:标签。
-
在添加标签(可选)下,指定密钥和值(可选)的值,然后选择下一步:查看。有关标签的更多信息,请参阅 为 Amazon IAM Identity Center 资源添加标签。
-
检查您的选择,然后选择创建。
-
-
按照 将用户访问权限分配给 Amazon Web Services 账户 中的步骤将相应的用户和组分配给您刚刚创建的权限集。
-
向分配的用户传达以下信息:当他们登录 Amazon Web Services 访问门户并选择 “帐户” 选项卡时,他们必须选择相应的角色名称才能使用您刚才委派的权限进行身份验证。