本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
先決條件
下列主題列出連結 AWS Partner Central 和 AWS 帳戶所需的先決條件。我們建議依照列出的順序遵循主題。
注意
由於使用者介面、功能和效能問題,帳戶連結不支援 Firefox 延伸支援版本 (Firefox ESR)。建議使用一般版本的 Firefox 或其中一個 chrome 瀏覽器。
使用者角色和許可
若要將 AWS 您的帳戶與 AWS Partner Central 帳戶連結,您必須讓人員擔任下列角色:
-
具有聯盟負責人或雲端管理員角色的 AWS Partner Central 使用者。如需將角色指派給使用者的詳細資訊,請參閱本指南管理使用者和角色指派稍後的 。
-
組織中負責連結 AWS 帳戶的 IT 管理員。管理員會建立自訂許可政策,並將其指派給 IAM 使用者和角色。如需自訂政策的相關資訊,請參閱本指南授予 IAM 許可稍後的 。
知道要連結哪些帳戶
啟動帳戶連結之前,AWS Partner Central 聯盟主管或雲端管理員,以及您組織中的 IT 管理員必須決定要連結哪些帳戶。請採用下列準則:
-
AWS 建議連結至專用於 AWS Partner Network (APN) 業務開發 AWS 的帳戶。如果您有多個 AWS 帳戶,建議您連結符合以下條件的帳戶:
您可以使用 登入 AWS Partner Central
代表您的全球業務
做為管理任務的主要帳戶
-
如果您在 銷售 AWS Marketplace,您可以選擇連結到 AWS Marketplace 賣方帳戶。如果您擁有多個 AWS Marketplace 帳戶,請選擇您的主要帳戶,例如交易最多的帳戶。
-
中國區域的合作夥伴應建立並連結至全球 AWS 帳戶。
注意
如需識別正確帳戶的協助,請開立支援案例。若要這麼做,請導覽至 AWS 合作夥伴支援,然後選擇開啟新案例。
授予 IAM 許可
本節列出的 IAM 政策會授予 AWS Partner Central 使用者對連結 AWS 帳戶的有限存取權。存取層級取決於指派給使用者的 IAM 角色。如需許可層級的詳細資訊,請參閱本主題了解角色許可稍後的 。
若要建立政策,您必須是負責環境 AWS 的 IT 管理員。完成後,您必須將政策指派給 IAM 使用者或角色。
本節中的步驟說明如何使用 IAM 主控台建立政策。
注意
如果您是聯盟負責人或雲端管理員,且您已擁有具有 AWS 管理員許可的 IAM 使用者或角色,請跳至 連結 AWS Partner Central 和 AWS 帳戶。
如需 AWS Partner Central 角色的詳細資訊,請參閱本指南AWS Partner Central 角色稍後的 。
建立政策
-
登入 IAM 主控台
。 -
在 Access management (存取管理) 下,請選擇 Policies (政策)。
-
選擇建立政策,選擇 JSON,然後新增下列政策:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreatePartnerCentralRoles", "Effect": "Allow", "Action": [ "iam:CreateRole" ], "Resource": [ "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*", "arn:aws:iam::*:role/PartnerCentralRoleForAce*", "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*" ] }, { "Sid": "AttachPolicyToPartnerCentralCloudAdminRole", "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::*:policy/PartnerCentralAccountManagementUserRoleAssociation", "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess", "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess" ] } } }, { "Sid": "AttachPolicyToPartnerCentralAceRole", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy" ], "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAce*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::*:policy/AWSPartnerCentralOpportunityManagement", "arn:aws:iam::*:policy/AWSMarketplaceSellerOfferManagement" ] } } }, { "Sid": "AttachPolicyToPartnerCentralAllianceRole", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy" ], "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess", "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess" ] } } }, { "Sid": "AssociatePartnerAccount", "Effect": "Allow", "Action": [ "partnercentral-account-management:AssociatePartnerAccount" ], "Resource": "*" }, { "Sid": "SellerRegistration", "Effect": "Allow", "Action": [ "aws-marketplace:ListChangeSets", "aws-marketplace:DescribeChangeSet", "aws-marketplace:StartChangeSet", "aws-marketplace:ListEntities", "aws-marketplace:DescribeEntity" ], "Resource": "*" } ] } -
選擇下一步。
-
在政策詳細資訊下的政策名稱方塊中,輸入政策的名稱和選用的描述。
-
檢閱政策許可,視需要新增標籤,然後選擇建立政策。
-
將您的 IAM 使用者或角色連接至政策。如需連接的資訊,請參閱《IAM 使用者指南》中的新增 IAM 身分許可 (主控台)。
了解角色許可
IT 管理員完成上一節的步驟後,聯盟負責人和 AWS Partner Central 中的其他人可以指派安全政策和映射使用者角色。下表列出並說明帳戶連結期間建立的標準角色,以及每個角色可用的任務。
| 標準 IAM 角色 | AWS 使用的 Partner Central 受管政策 | 可以執行 | 無法執行 |
|---|---|---|---|
| 雲端管理員 |
|
||
| 聯盟團隊 |
|
將 IAM 角色映射或指派給 AWS Partner Central 使用者。只有聯盟負責人和雲端管理員會映射或指派角色。 | |
| ACE 團隊 |
|
|
建立 SSO 的許可集
下列步驟說明如何使用 IAM Identity Center 建立許可集,以啟用存取 AWS Partner Central 的單一登入。
如需許可集的詳細資訊,請參閱《AWS IAM Identity Center 使用者指南》中的建立許可集。
-
在多帳戶許可下,選擇許可集。
-
選擇 Create permission set (建立許可集合)。
-
在選取許可集類型頁面的許可集類型下,選擇自訂許可集,然後選擇下一步。
-
請執行下列操作:
-
在指定政策和許可界限頁面上,選擇要套用至許可集的 IAM 政策類型。
根據預設,您可以將最多 10 個 AWS 受管政策和客戶受管政策的任意組合新增至您的許可集。IAM 會設定此配額。若要提高配額,請在您要指派許可集的每個 AWS 帳戶中,請求增加連接到 Service Quotas 主控台中 IAM 角色的 IAM 配額受管政策。
-
展開內嵌政策以新增自訂 JSON 格式的政策文字。內嵌政策不會對應至現有的 IAM 資源。若要建立內嵌政策,請在提供的表單中輸入自訂政策語言。IAM Identity Center 會將政策新增至其在成員帳戶中建立的 IAM 資源。如需詳細資訊,請參閱內嵌政策。
-
從 AWS Partner Central 和 AWS 帳戶連結先決條件複製並貼上 JSON 政策
-
-
在指定許可集詳細資訊頁面上,執行下列動作:
-
在許可集名稱下,輸入名稱以在 IAM Identity Center 中識別此許可集。您為此許可集指定的名稱會在 AWS 存取入口網站中顯示為可用角色。使用者登入 AWS 存取入口網站,選擇 AWS 帳戶,然後選擇角色。
-
(選用) 您也可以輸入描述。描述只會出現在 IAM Identity Center 主控台中,而不會出現在 AWS 存取入口網站中。
-
(選用) 指定工作階段持續時間的值。此值決定在主控台將使用者登出其工作階段之前,使用者可登入的時間長度。如需詳細資訊,請參閱設定 AWS 帳戶的工作階段持續時間。
-
(選用) 指定轉送狀態的值。此值用於聯合程序,以重新導向帳戶內的使用者。如需詳細資訊,請參閱設定轉送狀態以快速存取 AWS 管理主控台。
注意
轉送狀態 URL 必須在 AWS 管理主控台內。例如:
https://console.aws.amazon.com/ec2/ -
展開標籤 (選用),選擇新增標籤,然後指定索引鍵和值的值 (選用)。
如需標籤的資訊,請參閱標記 AWS IAM Identity Center 資源。
-
選擇下一步。
-
-
在檢閱和建立頁面上,檢閱您所做的選擇,然後選擇建立。
根據預設,當您建立許可集時,不會佈建許可集 (用於任何 AWS 帳戶)。若要在 AWS 帳戶中佈建許可集,您必須將 IAM Identity Center 存取權指派給帳戶中的使用者和群組,然後將許可集套用至這些使用者和群組。如需詳細資訊,請參閱《AWS IAM Identity Center 使用者指南》中的將使用者存取權指派給 AWS 帳戶。
