本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 用户组、角色和权限集 用户组管理在共享账户中定义的专用*角色* 。角色建立同属一组的权限集。组的所有成员继承与组关联的权限集或角色。您可以为成员账户的最终用户创建新组,以便您只能自定义分配某个组所执行的特定任务所需的角色。 可用的权限集涵盖各种不同的用户权限要求,例如只读访问权限、AWS Control Tower 管理访问权限和 Service Catalog 访问权限。这些权限集使您的最终用户能够在您的着陆区(Landing zone)中快速配置自己的 AWS 帐户,同时遵守企业的指导方针。 有关规划用户、组和权限分配的提示,请参阅[设置组、角色和策略方面的建议](roles-recommendations.md) 有关如何在 AWS Control Tower 的上下文中使用此服务的更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的以下主题。 + 要添加用户,请参阅[添加用户](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)。 + 要将用户添加到组,请参阅[将用户添加到组](https://docs.aws.amazon.com/singlesignon/latest/userguide/adduserstogroups.html)。 + 要编辑用户属性,请参阅[编辑用户属性](https://docs.aws.amazon.com/singlesignon/latest/userguide/edituser.html)。 + 要添加组,请参阅[添加组](https://docs.aws.amazon.com/singlesignon/latest/userguide/addgroups.html)。 **警告** AWS Control Tower 会在您的主区域中设置 IAM Identity Center 目录。如果您在另一个区域中设置您的登录区,然后导航到 IAM Identity Center 控制台,则必须将该区域更改为您的主区域。请勿在您的主区域中删除 IAM Identity Center 配置。