单点登录访问权限 Amazon Web Services 账户

为用户或组分配访问权限 Amazon Web Services 账户

1. 打开 IAM Identity Center 控制台。

   注意

   确保 IAM Identity Center 控制台使用的区域是您的 Amazon Managed Microsoft AD 目录所在的区域，然后再继续执行下一步骤。

2. 在导航窗格中的多账户权限下，选择 Amazon Web Services 账户。

3. 在 Amazon Web Services 账户 页面上，将显示您的组织的树视图列表。选中您要为其分配单点登录访问权限的一个或多个 Amazon Web Services 账户 旁边的复选框。

   注意

   向用户和群组分配单点登录访问权限时，每个权限集一次最多可以选择 10 Amazon Web Services 账户 个。要向同一组用户和组分配 10 个 Amazon Web Services 账户 以上的用户，请根据需要为其他帐户重复此过程。出现提示时，选择相同的用户、组和权限集。

4. 选择分配用户或组。

5. 对于步骤 1：选择用户和组，在将用户和组分配给“Amazon-account-name”页面上，执行以下操作：

   1. 在用户选项卡上，选择一个或多个要向其授予单点登录访问权限的用户。

      要筛选结果，请开始在搜索框中键入所需用户的名称。

   2. 在组选项卡上，选择一个或多个要向其授予单点登录访问权限的组。

      要筛选结果，请开始在搜索框中键入所需组的名称。

   3. 要显示您选择的用户和组，请选择选定的用户和组旁边的横向三角形。

   4. 确认选择了正确的用户和组后，选择下一步。

6. 对于步骤 2：选择权限集，在将权限集分配给“Amazon-account-name”页面上，执行以下操作：

   1. 选择一个或多个权限集。如有需要，您可以创建和选择新的权限集。

      • 要选择一个或多个现有权限集，请在权限集下，选择要应用于在上一步中选择的用户和组的权限集。

      • 要创建一个或多个新权限集，请选择创建权限集，然后按照 创建权限集 中的步骤操作。创建要应用的权限集后，在 IAM Identity Center 控制台中，返回到 Amazon Web Services 账户 并按照说明进行操作，直到进入步骤 2：选择权限集。完成此步骤后，选择您创建的新权限集，然后继续执行此过程的下一步。

   2. 确认选择了正确的权限集后，选择下一步。

7. 对于步骤 3：查看并提交，在查看任务并将其提交到“Amazon-account-name”页面上，执行以下操作：

   1. 查看选定的用户、组和权限集。

   2. 确认选择了正确的用户、组和权限集之后，选择提交。

      重要

      用户和组的分配过程可能需要几分钟才能完成。等到此过程成功完成再关闭该页面。

      注意

      您可能需要向用户或群组授予使用 Amazon Organizations 管理账户进行操作的权限。由于它是高权限账户，因此其他安全限制要求您先拥有 IAM FullAccess 策略或同等权限，然后才能进行设置。您 Amazon 组织中的任何成员账户都不需要这些额外的安全限制。

删除用户和群组对的访问权限 Amazon Web Services 账户

1. 打开 IAM Identity Center 控制台。

2. 在导航窗格的多账户权限下，选择 Amazon Web Services 账户。

3. 在 Amazon Web Services 账户 页面上，将显示您的组织的树视图列表。选择 Amazon Web Services 账户 包含要删除其单点登录访问权限的用户和群组的名称。

4. 在 “概述” 页面的 “分配的用户和组” 下 Amazon Web Services 账户，选择一个或多个用户或组的名称，然后选择 “移除访问权限”。

5. 在移除访问权限对话框中，确认用户或组的名称是否正确，然后选择移除访问权限。

1. 获取必须撤消其访问权限的人的用户 ID。您可以使用身份存储 API 通过用户的用户名查找用户。

2. 更新拒绝策略，将步骤 1 中的用户 ID 添加到您的服务控制策略 (SCP) 中。完成此步骤后，目标用户将失去访问权限，并且无法对受该策略影响的任何角色采取操作。

3. 移除该用户的所有权限集分配。如果访问权限是通过群组成员资格分配的，请将该用户从所有群组和所有直接权限集分配中移除。此步骤可防止用户担任任何其他 IAM 角色。如果用户拥有有效的 Amazon Web Services 访问门户会话，而您禁用了该用户，则他们可以继续扮演新角色，直到您删除其访问权限。

4. 如果您使用身份提供商 (IdP) 或 Microsoft Active Directory 作为身份源，请在身份源中禁用该用户。禁用该用户可以防止创建其他 Amazon Web Services 访问门户会话。使用你的 IdP 或 Microsoft Active Directory API 文档来学习如何自动执行此步骤。如果您使用 IAM Identity Center 目录作为身份源，请不要禁用用户访问权限。您将在步骤 6 中禁用用户访问权限。

5. 在 IAM Identity Center 控制台中，找到该用户并删除其活动会话。

   1. 选择用户。

   2. 选择要删除其活动会话的用户。

   3. 在用户的详细信息页面上，选择活动会话选项卡。

   4. 选中要删除的会话旁边的复选框，然后选择删除会话。

   这可确保用户的 Amazon Web Services 访问门户会话在大约 60 分钟内停止。了解会话持续时间。

6. 在 IAM 身份中心控制台中，禁用用户访问权限。

   1. 选择用户。

   2. 选择要禁用其访问权限的用户。

   3. 在用户的详细信息页面上，展开常规信息，然后选择禁用用户访问权限按钮以防止该用户进一步登录。

7. 将 “拒绝” 政策保留至少 12 小时。否则，拥有活跃 IAM 角色会话的用户将恢复对 IAM 角色的操作。如果您等待 12 小时，则活动会话将过期，用户将无法再次访问 IAM 角色。

授予权限来管理您的目录中的用户和组的单点登录访问权限

1. 以管理账户的根用户身份或具有管理员权限的另一个管理用户的身份登录到 IAM Identity Center 控制台。

2. 按照 创建权限集 中的步骤创建权限集，然后执行以下操作：

   1. 在创建新权限集页面上，选中创建自定义权限集复选框，然后选择下一步：详细信息。

   2. 在“创建新权限集”页面上，指定自定义权限集的名称和描述（可选）。如有需要，可以修改会话持续时间并指定中继状态 URL。

      注意

      对于中继状态 URL，必须指定位于 Amazon Web Services Management Console中的 URL 。例如：

      https://console.aws.amazon.com/ec2/

      有关更多信息，请参阅 设置中继状态。

   3. 在您要在权限集中包含哪些策略？下，选中附加 Amazon 托管式策略复选框。

   4. 在 IAM 策略列表中，同时选择AWSSSOMasterAccountAdministrator和IAMFullAccess Amazon 托管策略。这些策略向以后将拥有此权限集的访问权限的任何用户和组授予权限。

   5. 选择下一步：标签。

   6. 在添加标签（可选）下，指定密钥和值（可选）的值，然后选择下一步：查看。有关标签的更多信息，请参阅 为 Amazon IAM Identity Center 资源添加标签。

   7. 检查您的选择，然后选择创建。

3. 按照 将用户访问权限分配给 Amazon Web Services 账户 中的步骤将相应的用户和组分配给您刚刚创建的权限集。

4. 向分配的用户传达以下信息：当他们登录 Amazon Web Services 访问门户并选择 “帐户” 选项卡时，他们必须选择相应的角色名称才能使用您刚才委派的权限进行身份验证。