本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 AWS Control Tower 的 IAM Identity Center 组
AWS Control Tower 提供了预配置的组以组织账户中执行特定任务的用户。您可以在 IAM Identity Center 中直接添加用户并将其分配给这些组。这样做会将权限集与账户中的组用户进行匹配。有关配置组的最新指南和最佳实践,请参阅《IAM Identity Center 用户指南》中的最佳实践。
设置登录区时将创建以下组。
AWSAccount工厂
| Account |
权限集 |
说明 |
| 管理账户 |
AWSServiceCatalogEndUserAccess |
此组在该账户中仅用于通过 Account Factory 预置新账户。 |
AWSServiceCatalogAdmins
| Account |
权限集 |
说明 |
| 管理账户 |
AWSServiceCatalogAdminFullAccess |
此组在该账户中仅用于对 Account Factory 进行管理更改。除非该群组中的用户也属于AWSAccount工厂群组,否则他们无法配置新帐户。 |
AWSControlTowerAdmins
| Account |
权限集 |
说明 |
| 管理账户 |
AWSAdministratorAccess |
该账户中此组的用户是唯一可访问 AWS Control Tower 控制台的用户。 |
| 日志存档账户 |
AWSAdministratorAccess |
用户拥有此账户的管理员访问权限。 |
| 审计账户 |
AWSAdministratorAccess |
用户拥有此账户的管理员访问权限。 |
| 成员账户 |
AWSOrganizationsFullAccess |
用户拥有对该账户中 Organizations 的完全访问权限。 |
AWSSecurityAuditPowerUsers
| Account |
权限集 |
说明 |
| 管理账户 |
AWSPowerUserAccess |
用户可以执行应用程序开发任务,也可以创建和配置支持有 AWS 意识的应用程序开发的资源和服务。 |
| 日志存档账户 |
AWSPowerUserAccess |
用户可以执行应用程序开发任务,也可以创建和配置支持有 AWS 意识的应用程序开发的资源和服务。 |
| 审计账户 |
AWSPowerUserAccess |
用户可以执行应用程序开发任务,也可以创建和配置支持有 AWS 意识的应用程序开发的资源和服务。 |
| 成员账户 |
AWSPowerUserAccess |
用户可以执行应用程序开发任务,也可以创建和配置支持有 AWS 意识的应用程序开发的资源和服务。 |
AWSSecurity审计员
| Account |
权限集 |
说明 |
| 管理账户 |
AWSReadOnlyAccess |
用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 |
| 日志存档账户 |
AWSReadOnlyAccess |
用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 |
| 审计账户 |
AWSReadOnlyAccess |
用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 |
| 成员账户 |
AWSReadOnlyAccess |
用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 |
AWSLogArchiveAdmins
| Account |
权限集 |
说明 |
| 日志存档账户 |
AWSAdministratorAccess |
用户拥有此账户的管理员访问权限。 |
AWSLogArchiveViewers
| Account |
权限集 |
说明 |
| 日志存档账户 |
AWSReadOnlyAccess |
用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 |
AWSAuditAccountAdmins
| Account |
权限集 |
说明 |
| 审计账户 |
AWSAdministratorAccess |
用户拥有此账户的管理员访问权限。 |
