As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Delegar quem pode atribuir acesso de logon único a usuários e grupos na conta de gerenciamento Atribuir acesso de logon único à conta mestre usando o console do IAM Identity Center é uma ação privilegiada. Por padrão, somente um usuário Usuário raiz da conta da AWS ou um usuário que tenha as políticas **AWSSSOMasterAccountAdministrator**IAMFullAccess**** AWS gerenciadas anexadas pode atribuir acesso de login único à conta de gerenciamento. As **IAMFullAccess**políticas **AWSSSOMasterAccountAdministrator**e gerenciam o acesso de login único à conta de gerenciamento em uma AWS Organizations organização. Como alternativa, você pode usar AWS CLI para criar, anexar políticas e atribuir conjuntos de permissões. A seguir, são listados os comandos para cada etapa: + Para criar um conjunto de permissões: [create-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-permission-set.html) + Para anexar AWS Managed Policy a um conjunto de permissões: [attach-managed-policy-to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-managed-policy-to-permission-set.html) + Para anexar a política gerenciada pelo cliente a um conjunto de permissões: [attach-customer-managed-policy- to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-customer-managed-policy-reference-to-permission-set.html) + Para atribuir um conjunto de permissões a um diretor: [create-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-account-assignment.html) Use as etapas a seguir para delegar permissões para gerenciar o acesso SSO aos usuário e grupos em seu diretório. **Para conceder permissões para gerenciar o acesso SSO ao usuários e grupos em seu diretório** 1. Faça login no console do como um usuário raiz da conta mestre ou com outro usuário do IAM Identity Center que tenha permissões de administrador do para a conta mestre. 1. Siga as etapas [Crie um conjunto de permissões](howtocreatepermissionset.md) para criar um conjunto de permissões e faça o seguinte: 1. Na página **Criar novo conjunto de permissões**, marque a caixa de seleção **Criar um conjunto de permissões personalizado** e escolha **Avançar: Detalhes**. 1. Na **página Criar novo conjunto de permissões**, especifique um nome para o conjunto de permissões personalizado e, opcionalmente, uma descrição. Se necessário, modifique a duração da sessão e especifique um URL de estado de retransmissão. **nota** Para o URL do estado de retransmissão, você deve especificar um URL que esteja no Console de gerenciamento da AWS. Por exemplo: **https://console.aws.amazon.com/ec2/** Para obter mais informações, consulte [Defina o estado do relé para acesso rápido ao Console de gerenciamento da AWS](howtopermrelaystate.md). 1. Em **Quais políticas você deseja incluir no seu conjunto de permissões?** , marque a caixa de seleção **Anexar políticas AWS gerenciadas**. 1. Na lista de políticas do IAM, escolha as políticas **AWSSSOMasterAccountAdministrator**e as **IAMFullAccess** AWS gerenciadas. Essa política concede permissões a qualquer usuário e grupos que receberem acesso a esse conjunto de permissões definido no futuro. 1. Escolha **Próximo: tags**. 1. Em **Adicionar tags (opcional)**, especifique valores de **Chave** e **Valor (opcional)**, e escolha **Avançar: Revisão**. Para obter mais informações sobre tags, consulte [Recursos de marcação Centro de Identidade do AWS IAM](tagging.md). 1. Verifique suas seleções e, em seguida, escolha **Create function**. 1. Siga as etapas em [Atribuir acesso de usuário ou grupo a Contas da AWS](assignusers.md) para atribuir os usuários e grupos apropriados ao conjunto de permissões que você acabou de criar. 1. Comunique aos usuários designados o seguinte: quando eles fizerem login no portal de acesso AWS e selecionarem a guia **Contas**, deverão escolher o nome do perfil apropriado para serem autenticados com as permissões que você acabou de delegar.