本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 创建、管理和删除权限集
权限集定义用户和组对某一 AWS 账户帐户的访问级别。权限集存储在 IAM Identity Center 中,可以配置给一个或多个 AWS 账户。您可以为用户分配多个权限集。有关权限集以及如何在 IAM Identity Center 中使用权限集的更多信息,请参阅 [AWS 账户 使用权限集进行管理](permissionsetsconcept.md)。
**注意**
您可以在 IAM Identity Center 控制台中按名称搜索和排序权限集。
创建权限集时,请记住以下注意事项:
+ **组织实例**
要使用权限集,您将需要使用 IAM Identity Center 的组织实例。有关更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
+ **以预定义的权限集为起点**
使用使用预定义权限的[预定义权限](permissionsetpredefined.md)集,您可以从可用策略列表中选择单个 AWS 托管策略。每项策略都授予对 AWS 服务和资源的特定级别的访问权限或对常见工作职能的权限。有关每项策略的信息,请参阅[针对工作职能的AWS 管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。收集使用情况数据后,您可以细化权限集,使其更具有限制性。
+ **将管理会话的持续时间限制在合理的工作时间段内**
当用户联合到他们 AWS 账户 并使用 AWS 管理控制台 或 AWS 命令行界面 (AWS CLI) 时,IAM Identity Center 会使用权限集上的会话持续时间设置来控制会话的持续时间。当用户会话达到会话持续时间时,他们将退出控制台,并被要求重新登录。作为最佳安全做法,我们建议您设置的会话持续时间长度不要超过执行角色所需的时间。默认情况下,**会话持续时间**的值为一个小时。可以指定的最大值为 12 小时。有关更多信息,请参阅 [将会话持续时间设置为 AWS 账户](howtosessionduration.md)。
+ **限制员工用户门户的会话持续时间**
员工用户使用门户会话来选择角色和访问应用程序。默认情况下,“**最大会话持续时间**” 的值为八小时,该值决定了员工用户在必须重新进行身份验证之前可以登录 AWS 访问门户的时间长度。可以将最大值指定为 90 天。有关更多信息,请参阅 [在 IAM Identity Center 中配置会话持续时间](configure-user-session.md)。
+ **使用提供最低权限的角色**
您创建并分配给用户的每个权限集在 AWS 访问门户中显示为可用角色。当您以该用户身份登录门户时,请选择与可用于在帐户中执行任务的最严格的权限集相对应的角色,而不是 `AdministratorAccess`。在发送用户邀请之前,请测试您的权限集,验证其是否提供了必要的访问权限。
**注意**
您也可以使用 [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html) 创建和分配权限集,并将这些权限集分配给用户。
**Topics**
+ [创建权限集](howtocreatepermissionset.md)
+ [查看和更改权限集](howtoviewandchangepermissionset.md)
+ [委派权限集管理](permissionsetdelegation.md)
+ [在权限集中使用 IAM 策略](howtocmp.md)
+ [在 IAM Identity Center 中移除权限集](howtoremovepermissionset.md)
+ [在 IAM Identity Center 中删除权限集](howtodeletepermissionset.md)
# 创建权限集
使用此过程创建使用单个 AWS 管理型策略的预定义权限集,或者创建使用多达 10 个 AWS 管理型策略或客户管理型策略和内联策略的自定义权限集。您可以在 IAM 的 [服务限额控制台](https://console.aws.amazon.com/servicequotas)中请求调整 10 个策略的最大数量。您可以在 IAM Identity Center 控制台中创建权限集。
**注意**
要使用权限集,您将需要使用 IAM Identity Center 的组织实例。有关更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
**创建权限集**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 在**多帐户权限**下,选择**权限集**。
1. 选择 **Create permission set (创建权限集合)**。
1. 在**选择权限集类型**页面的**权限集类型**下,选择权限集类型。
1. 根据权限集类型,选择一个或多个要用于权限集的策略:
+ **预定义的权限集**
1. 在**预先定义的权限集的策略**下,从列表选择一项 IAM **工作职能策略**或**通用权限策略**,然后选择**下一步**。有关更多信息,请参阅 *AWS Identity and Access Management 用户指南* 中的 [工作职能的AWS 管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) 和 [AWS 管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
1. 转至步骤 6,完成**指定权限集详细信息**页面。
+ **自定义权限集**
1. 选择**下一步**。
1. 在**指定策略和权限边界**页面上,选择要应用于新权限集的 IAM 策略类型。默认情况下,您可以将多达 10 个 **AWS 管理型策略**和**客户管理型策略**的任意组合添加到您的权限集中。此限额由 IAM 设置。要提高该限额,请在您要分配权限集的每个 AWS 账户 的服务限额控制台中请求增加 IAM 限额*附加到 IAM 角色的管理型策略*。
+ 扩展**AWS 托管策略**以添加来自 IAM 的 AWS 构建和维护策略。有关更多信息,请参阅 [AWS 托管策略](permissionsetcustom.md#permissionsetsampconcept)。
1. 在权限集中搜索并选择要应用于用户的 **AWS 管理型策略**。
1. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择**下一步**。转至步骤 6,完成**指定权限集详细信息**页面。
+ 扩展**客户管理型策略**以添加您构建和维护的 IAM 中的策略。有关更多信息,请参阅 [客户托管策略](permissionsetcustom.md#permissionsetscmpconcept)。
1. 选择**附加策略**,然后输入要添加到权限集的策略的名称。在要向其分配权限集的每个帐户中,使用您输入的名称创建策略。最佳做法是为每个帐户中的策略分配相同的权限。
1. 选择**附加更多**以添加其他策略。
1. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择**下一步**。转至步骤 6,完成**指定权限集详细信息**页面。
+ 展开**内联策略**,添加自定义 JSON 格式的策略文本。内联策略与现有的 IAM 资源不对应。要创建内联策略,请在提供的表单中输入自定义策略语言。IAM Identity Center 会将策略添加到它在您的成员帐户中创建的 IAM 资源中。有关更多信息,请参阅 [内联策略](permissionsetcustom.md#permissionsetsinlineconcept)。
1. 在交互式编辑器中将所需操作和资源添加到内联策略中。可以使用**添加新语句**添加其他语句。
1. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择**下一步**。转至步骤 6,完成**指定权限集详细信息**页面。
+ 展开**权限边界**,将 AWS 托管或客户托管的 IAM 策略添加为权限集中的其他策略可以分配的最大权限。有关更多信息,请参阅 [权限边界](permissionsetcustom.md#permissionsetsboundaryconcept)。
1. 选择**使用权限边界控制最大权限**。
1. 选择 **AWS 管理型策略**来设置来自 IAM 的策略,该策略将 *AWS* 构建和维护作为您的权限边界。选择**客户管理型策略**,从 IAM 中设置一个由*您*构建和维护的策略作为权限边界。
1. 如果要添加其他类型的策略,请选择其容器并进行选择。选择了所有要应用的策略后,请选择**下一步**。转至步骤 6,完成**指定权限集详细信息**页面。
1. 在**指定权限集详细信息** 页面中,请执行以下操作:
1. 在**权限集名称** 下,键入一个名称以在 IAM Identity Center 中标识此权限集。您为此权限集指定的名称作为可用角色出现在 AWS 访问门户中。用户登录 AWS 访问门户,选择一个 AWS 账户,然后选择角色。
**注意**
权限集名称在您的 IAM Identity Center 实例中必须唯一。
1. (可选)您也可以键入描述。描述仅显示在 IAM Identity Center 控制台中,不显示在 AWS 访问门户中。
1. (可选)指定**会话持续时间**的值。该值确定用户在控制台注销其会话之前可以登录的时间长度。有关更多信息,请参阅 [将会话持续时间设置为 AWS 账户](howtosessionduration.md)。
1. (可选)指定**中继状态**的值。此值在联合身份验证过程中用于重定向帐户中的用户。有关更多信息,请参阅 [设置中继状态以便快速访问 AWS 管理控制台](howtopermrelaystate.md)。
**注意**
中继状态 URL 必须在 AWS 管理控制台中。例如:
**https://console.aws.amazon.com/ec2/**
1. 展开**标签(可选)**,选择**添加标签**,然后为**密钥**和**值(可选)**指定值。
有关标签的信息,请参阅 [为资源添加标签 AWS IAM Identity Center](tagging.md)。
1. 选择**下一步**。
1. 在**查看并创建**页面上,查看您所做的选择,然后选择**创建**。
1. 默认情况下,当您创建权限集时,不会配置该权限集(用于任何权限集 AWS 账户)。要在中配置权限集 AWS 账户,您必须为账户中的用户和群组分配 IAM Identity Center 访问权限,然后将该权限集应用于这些用户和群组。有关更多信息,请参阅 [为用户或群组分配访问权限 AWS 账户](assignusers.md)。
# 查看和更改权限集
您可以使用权限集为用户授予 AWS 账户的访问权限。您可以使用 AWS IAM Identity Center 控制台查看和更改权限集。您可以在 IAM Identity Center 控制台中按名称搜索和排序权限集。有关权限集以及如何在 IAM Identity Center 中使用权限集的更多信息,请参阅 [AWS 账户 使用权限集进行管理](permissionsetsconcept.md)。
管理用户对应用程序的访问权限无需使用权限集。
**注意**
要使用权限集,您将需要使用 IAM Identity Center 的组织实例。有关更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
## 查看权限集分配
按照此过程在 AWS IAM Identity Center 控制台中查看已应用的权限集。
------
#### [ All AWS 账户 where a permission set is provisioned ]
要查看某个权限集的所有分配,请执行以下过程:
1. 登录 AWS 管理控制台 并打开 AWS IAM Identity Center 控制台,网址为[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)。
1. 在**多账户权限**下,选择**权限集**。
1. 在**权限集**页面选择要查看的权限集。
1. 进入所选权限集页面后,在**账户**选项卡下,您可以查看该权限集所应用的账户。您可以选择某个账户,查看该权限集在该账户中的配置方式。您可以[删除](howtoremovepermissionset.md)策略、编辑策略、将策略附加到权限集。
------
#### [ All permission sets for an AWS 账户 ]
要查看某个权限集的所有分配,请执行以下过程:
1. 登录 AWS 管理控制台 并打开 AWS IAM Identity Center 控制台,网址为[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)。
1. 在**多帐户权限**下,选择 **AWS 账户**。选择您要查看已配置权限集的账户。
1. 进入选定 AWS 账户 页面后,在 “**权限集**” 选项卡下,您可以查看分配给选定权限的不同权限集 AWS 账户。您可以点击权限集的超链接,了解该权限集的详细信息。
------
#### [ All applied permission sets to users and groups ]
要查看分配给用户或组的所有权限集,请执行以下过程:
1. 登录 AWS 管理控制台 并打开 AWS IAM Identity Center 控制台,网址为[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)。
1. 在**控制面板**下选择“用户”或“组”,查看 IAM Identity Center 用户或组。
1. 进入**用户**页面后,选择您要查看其已应用权限集的用户。接下来,选择 **AWS 账户** 选项卡,然后选择 **AWS 账户访问**区域下的 AWS 账户 。您将能够看到所选用户的已应用权限集。 AWS 账户
1. 进入**组**页面后,选择您要查看其已应用权限集的组。接下来,选择 **AWS 账户**选项卡,然后选择 **AWS 账户 访问**区域下的 AWS 账户 。您将能够看到所选群组所应用 AWS 账户 的权限集。
------
## 更改权限集
按照此过程通过 IAM Identity Center 控制台更改[权限集](permissionsetsconcept.md)。您可以向用户或组添加或移除权限集。
1. 登录 AWS 管理控制台 并打开 AWS IAM Identity Center 控制台,网址为[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)。
1. 在**多帐户权限**下,选择 ** AWS 账户**。
1. 在 **AWS 账户** 页面上,将显示您的组织的树视图列表。选择要更改权限集的 AWS 账户 的名称。
1. 在 AWS 账户**概述**页面上,从**分配的用户和组**下选择要更改的权限集的用户名或组名。然后选择**更改权限集**。
1. 对权限集进行所需更改,然后选择**保存更改**。
1. 导航至**权限集**选项卡,选择最近更改的权限集,然后选择**更新**。
1. 在**更新权限**页面选择**更新**。
# 委派权限集管理
IAM Identity Center 允许您通过创建引用 [IAM 身份中心[资源的亚马逊资源名称 (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) 的 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)来委托账户中的权限集和分配的管理。例如,您可以创建策略,使不同的管理员能够在指定帐户中为具有特定标签的权限集管理分配。
**注意**
要使用权限集,您将需要使用 IAM Identity Center 的组织实例。有关更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
您可以使用下列任一方法创建这些类型的策略。
+ (推荐)在 IAM Identity Center 中创建[权限集](permissionsets.md),每个权限集都有不同的策略,并将权限集分配给不同的用户或组。这使您能够管理使用您选择的 [IAM Identity Center 身份源](manage-your-identity-source.md)登录的用户的管理权限。
+ 在 IAM 中创建自定义策略,然后将其附加到您的管理员担任的 IAM 角色。有关角色的信息,请参阅 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)以获取为其分配的 IAM Identity Center 管理权限。
**重要**
IAM 身份中心资源区 ARNs 分大小写。
以下内容显示了引用 IAM Identity Center 权限集和帐户资源类型的正确案例。
| 资源类型 | 进行筛选 | 上下文键 |
| --- | --- | --- |
| PermissionSet | arn:\$1\$1Partition\$1:sso:::permissionSet/\$1\$1InstanceId\$1/\$1\$1PermissionSetId\$1 | aws:ResourceTag/\$1\$1TagKey\$1 |
| Account | arn:\$1\$1Partition\$1:sso:::account/\$1\$1AccountId\$1 | 不适用 |
# 在权限集中使用 IAM 策略
在 [创建权限集](howtocreatepermissionset.md) 中,您学习了如何向权限集添加策略,包括客户管理型策略和权限边界。当您将客户管理型策略和权限添加到权限集时,IAM Identity Center 不会在任何 AWS 账户中创建策略。相反,您必须在要分配权限集的每个帐户中提前创建这些策略,并将它们与权限集的名称和路径规范相匹配。当您将权限集分配给组织 AWS 账户 中的时,IAM Identity Center 会创建一个 [AWS Identity and Access Management (IAM) 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)并将您[的 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)附加到该角色。
**注意事项**
+ 要使用权限集,您将需要使用 IAM Identity Center 的组织实例。有关更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
+ 在使用 IAM policy 分配权限集之前,您必须准备好您的成员帐户。成员账户中的 IAM 策略名称必须与管理账户中的策略名称相符。如果您的成员帐户中不存在权限集,IAM Identity Center 将无法分配权限集。
**注意**
当客户管理型策略附加到权限集时,策略名称不区分大小写。
+ 策略授予的权限不必在账户之间完全匹配。
# 将 IAM 策略分配给权限集
1. 在您要分配权限集的每个 AWS 账户 位置中创建一个 IAM 策略。
1. 向 IAM policy 分配权限。您可以在不同的帐户中分配不同的权限。为了获得一致的体验,请在每个策略中配置和维护相同的权限。您可以使用自动化资源,例如 AWS CloudFormation StackSets 在每个成员账户中创建具有相同名称和权限的 IAM 策略的副本。有关的更多信息 CloudFormation StackSets,请参阅《*AWS CloudFormation 用户指南》 AWS CloudFormation StackSets*中的 “[使用](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)”。
1. 在您的管理帐户中创建权限集,并在**客户管理型策略**或**权限边界**下添加您的 IAM policy。有关如何创建权限集的更多详细信息,请参阅 [创建权限集](howtocreatepermissionset.md)。
1. 添加您准备的所有内联策略、 AWS 管理型策略或其他 IAM policy。
1. 创建并分配您的权限集。
# 在 IAM Identity Center 中移除权限集
您可以在 IAM Identity Center 控制台中从 IAM Identity Center 用户和组移除权限集。您也可以从 AWS 账户移除权限集。有关权限集以及如何在 IAM Identity Center 中使用权限集的更多信息,请参阅 [AWS 账户 使用权限集进行管理](permissionsetsconcept.md)。
**注意**
要使用权限集,您将需要使用 IAM Identity Center 的组织实例。有关更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
------
#### [ Remove permission set from a user ]
**从用户移除权限集**
使用此过程通过 IAM Identity Center 控制台从用户移除权限集。
1. 登录 AWS 管理控制台 并打开 AWS IAM Identity Center 控制台,网址为[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)。
1. 在 **IAM Identity Center** 下,选择**用户**。
1. 选择您要移除其权限集的用户名。
1. 在用户详情页面,选择 **AWS 账户**选项卡。在 **AWS 账户 访问**下,选择您的 AWS 账户。
1. 右侧面板将显示所选用户的已应用权限。选择您要移除的权限集。在**账户访问详情**下,选择**移除**。
1. 系统将弹出对话框,询问您是否要移除该权限集。选择**移除**。
![\[AWS 账户 IAM 身份中心控制台中的 IAM 身份中心用户的选项卡。\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/remove-permission-set-tutorial.png)
------
#### [ Remove permission set from a group ]
**从组移除权限集**
使用此过程通过 IAM Identity Center 控制台从组移除权限集。
1. 登录 AWS 管理控制台 并打开 AWS IAM Identity Center 控制台,网址为[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)。
1. 在**多账户权限**下,选择 **AWS 账户**。选择指向您管理账户的链接。
![\[AWS 账户 IAM 身份中心控制台中的选项卡。\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/sso-aws-accounts-tab.png)
1. 在**已分配用户和组**选项卡下,选择您要移除其权限集的组,然后选择**修改权限集**。
1. 在**更改权限集**页面上,清除您要移除的权限集,然后选择**保存更改**。
------
#### [ Remove permission set from an AWS 账户 ]
使用此过程通过 IAM Identity Center 控制台从 AWS 账户 移除权限集。
1. 登录 AWS 管理控制台 并打开 AWS IAM Identity Center 控制台,网址为[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)。
1. 在**多账户权限**下,选择 **AWS 账户**。选择要 AWS 账户 从中移除权限集的名称。
1. 在 AWS 账户的**概述**页面上,选择**权限集**选项卡。选择您要移除的权限集。然后选择**移除**。
1. 在**移除权限集**对话框中,确认选择了正确的权限集,输入 **Delete** 以确认移除,然后选择**移除访问权限**。
------
# 在 IAM Identity Center 中删除权限集
在从 IAM Identity Center 删除权限集之前,您应将其从使用该权限集的所有 AWS 账户 中[移除](howtoremovepermissionset.md)。要查看现有用户和组的访问权限,请参阅[查看和更改权限集](howtoviewandchangepermissionset.md)。
**注意事项**
+ 要使用权限集,您将需要使用 IAM Identity Center 的组织实例。有关更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
+ 如果要撤销活跃权限集会话,请参阅[查看和结束员工用户的活跃会话](end-active-sessions.md)。
+ 在删除用户或组之前,应先从这些用户或组中移除权限集和应用程序分配。否则,IAM Identity Center 中将会存在未分配且未使用的权限集和应用程序。
使用以下步骤删除一个或多个权限集,这样组织 AWS 账户 中的任何人就无法再使用这些权限集。
**重要**
已分配此权限集的所有用户和群组,无论使用 AWS 账户 的是什么,都将无法再登录。要查看现有用户和组的访问权限,请参阅[查看和更改权限集](howtoviewandchangepermissionset.md)。
**从中删除权限集 AWS 账户**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 在**多帐户权限**下,选择**权限集**。
1. 选择要删除的权限集,然后选择 **Delete (删除)**。
1. 在**删除权限集**对话框中,输入权限集的名称以确认删除,然后选择**删除**。该名称区分大小写。