本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建权限集 使用此过程创建使用单个 AWS 管理型策略的预定义权限集,或者创建使用多达 10 个 AWS 管理型策略或客户管理型策略和内联策略的自定义权限集。您可以在 IAM 的 [服务限额控制台](https://console.aws.amazon.com/servicequotas)中请求调整 10 个策略的最大数量。您可以在 IAM Identity Center 控制台中创建权限集。 **注意** 要使用权限集,您将需要使用 IAM Identity Center 的组织实例。有关更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。 **创建权限集** 1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。 1. 在**多帐户权限**下,选择**权限集**。 1. 选择 **Create permission set (创建权限集合)**。 1. 在**选择权限集类型**页面的**权限集类型**下,选择权限集类型。 1. 根据权限集类型,选择一个或多个要用于权限集的策略: + **预定义的权限集** 1. 在**预先定义的权限集的策略**下,从列表选择一项 IAM **工作职能策略**或**通用权限策略**,然后选择**下一步**。有关更多信息,请参阅 *AWS Identity and Access Management 用户指南* 中的 [工作职能的AWS 管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) 和 [AWS 管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。 1. 转至步骤 6,完成**指定权限集详细信息**页面。 + **自定义权限集** 1. 选择**下一步**。 1. 在**指定策略和权限边界**页面上,选择要应用于新权限集的 IAM 策略类型。默认情况下,您可以将多达 10 个 **AWS 管理型策略**和**客户管理型策略**的任意组合添加到您的权限集中。此限额由 IAM 设置。要提高该限额,请在您要分配权限集的每个 AWS 账户 的服务限额控制台中请求增加 IAM 限额*附加到 IAM 角色的管理型策略*。 + 扩展**AWS 托管策略**以添加来自 IAM 的 AWS 构建和维护策略。有关更多信息,请参阅 [AWS 托管策略](permissionsetcustom.md#permissionsetsampconcept)。 1. 在权限集中搜索并选择要应用于用户的 **AWS 管理型策略**。 1. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择**下一步**。转至步骤 6,完成**指定权限集详细信息**页面。 + 扩展**客户管理型策略**以添加您构建和维护的 IAM 中的策略。有关更多信息,请参阅 [客户托管策略](permissionsetcustom.md#permissionsetscmpconcept)。 1. 选择**附加策略**,然后输入要添加到权限集的策略的名称。在要向其分配权限集的每个帐户中,使用您输入的名称创建策略。最佳做法是为每个帐户中的策略分配相同的权限。 1. 选择**附加更多**以添加其他策略。 1. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择**下一步**。转至步骤 6,完成**指定权限集详细信息**页面。 + 展开**内联策略**,添加自定义 JSON 格式的策略文本。内联策略与现有的 IAM 资源不对应。要创建内联策略,请在提供的表单中输入自定义策略语言。IAM Identity Center 会将策略添加到它在您的成员帐户中创建的 IAM 资源中。有关更多信息,请参阅 [内联策略](permissionsetcustom.md#permissionsetsinlineconcept)。 1. 在交互式编辑器中将所需操作和资源添加到内联策略中。可以使用**添加新语句**添加其他语句。 1. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择**下一步**。转至步骤 6,完成**指定权限集详细信息**页面。 + 展开**权限边界**,将 AWS 托管或客户托管的 IAM 策略添加为权限集中的其他策略可以分配的最大权限。有关更多信息,请参阅 [权限边界](permissionsetcustom.md#permissionsetsboundaryconcept)。 1. 选择**使用权限边界控制最大权限**。 1. 选择 **AWS 管理型策略**来设置来自 IAM 的策略,该策略将 *AWS* 构建和维护作为您的权限边界。选择**客户管理型策略**,从 IAM 中设置一个由*您*构建和维护的策略作为权限边界。 1. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择**下一步**。转至步骤 6,完成**指定权限集详细信息**页面。 1. 在**指定权限集详细信息** 页面中,请执行以下操作: 1. 在**权限集名称** 下,键入一个名称以在 IAM Identity Center 中标识此权限集。您为此权限集指定的名称作为可用角色出现在 AWS 访问门户中。用户登录 AWS 访问门户,选择一个 AWS 账户,然后选择角色。 **注意** 权限集名称在您的 IAM Identity Center 实例中必须唯一。 1. (可选)您也可以键入描述。描述仅显示在 IAM Identity Center 控制台中,不显示在 AWS 访问门户中。 1. (可选)指定**会话持续时间**的值。该值确定用户在控制台注销其会话之前可以登录的时间长度。有关更多信息,请参阅 [将会话持续时间设置为 AWS 账户](howtosessionduration.md)。 1. (可选)指定**中继状态**的值。此值在联合身份验证过程中用于重定向帐户中的用户。有关更多信息,请参阅 [设置中继状态以便快速访问 AWS 管理控制台](howtopermrelaystate.md)。 **注意** 中继状态 URL 必须在 AWS 管理控制台中。例如: **https://console.aws.amazon.com/ec2/** 1. 展开**标签(可选)**,选择**添加标签**,然后为**密钥**和**值(可选)**指定值。 有关标签的信息,请参阅 [为资源添加标签 AWS IAM Identity Center](tagging.md)。 1. 选择**下一步**。 1. 在**查看并创建**页面上,查看您所做的选择,然后选择**创建**。 1. 默认情况下,当您创建权限集时,不会配置该权限集(用于任何权限集 AWS 账户)。要在中配置权限集 AWS 账户,您必须为账户中的用户和群组分配 IAM Identity Center 访问权限,然后将该权限集应用于这些用户和群组。有关更多信息,请参阅 [为用户或群组分配访问权限 AWS 账户](assignusers.md)。