本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 启用对新 AMS Tools 账户的访问权限 创建工具账户后,AMS 会为您提供账户 ID。下一步是配置对新账户的访问权限。执行以下步骤。 1. 将相应的 Active Directory 组更新为相应的帐户 ID。 为新 AMS-created 账户配置了 ReadOnly 角色策略以及允许用户提交 RFC 的角色。 Tools 账户还有一个额外的 IAM 角色和用户可用: + IAM 角色:`AWSManagedServicesMigrationRole` + IAM 用户:`customer_cloud_endure_user` 1. 请求策略和角色以允许服务集成团队成员设置更高级别的工具。 导航到 AMS 控制台并提交以下 RFC: 1. 创建 KMS 密钥。使用[创建 KMS 密钥 (auto)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) 或[创建 KMS 密钥(托管自动化)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html)。 当您使用 KMS 加密提取的资源时,使用与其他 Landing Zone 应用程序账户共享的单个 KMS 密钥可以为摄取的图像提供安全保护,这些图像可以在 Multi-Account 目标账户中解密。 1. 共享 KMS 密钥。 使用管理 \| 高级堆栈组件 \| KMS 密钥 \| 共享(托管自动化)更改类型 (ct-05yb337abq3x5) 请求与已提取的 AMI 所在的应用程序账户共享新的 KMS 密钥。 最终账户设置的示例图: ![AWS 架构图显示了迁移 VPC IAM,以及包含各种组件和连接的权限。](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/WIGS_Account_ExpandedV1.png)