本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將使用者或群組存取權指派給 AWS 帳戶
使用下列程序將單一登入存取指派給連線目錄中的使用者和群組,並使用許可集來判斷其存取層級。
若要檢查現有的使用者和群組存取權,請參閱 檢視和變更許可集。
注意
為了簡化存取許可的管理,我們建議您直接對群組 (而非個別使用者) 指派存取。透過群組,您可以對使用者群組授予或拒絕許可,而不需要為每個使用者套用這些許可。如果使用者移到不同的組織,則只要將該使用者移到不同的群組,即可自動接收新組織所需的許可。
將使用者或群組存取權指派給 AWS 帳戶
-
注意
請確定 IAM Identity Center 主控台正在使用 AWS Managed Microsoft AD 目錄所在的區域,然後再移至下一個步驟。
-
在導覽窗格中的多帳戶許可下,選擇 AWS 帳戶。
-
在 AWS 帳戶頁面上,會顯示組織的樹狀檢視清單。選取您要 AWS 帳戶 為其指派存取權之 旁的核取方塊。如果您要設定 IAM Identity Center 的管理存取權,請選取管理帳戶 旁的核取方塊。
注意
當您將單一登入存取權指派給使用者和群組時,每個許可集一次最多可以選取 AWS 帳戶 10 個。若要將超過 10 AWS 帳戶 個指派給同一組使用者和群組,請視需要為其他帳戶重複此程序。出現提示時,選取相同的使用者、群組和許可集。
-
選擇指派使用者或群組。
-
針對步驟 1:選取使用者和群組,在將使用者和群組指派給 "
AWS-account-name" 頁面上,執行下列動作:-
在使用者索引標籤上,選取要授予單一登入存取權的一或多個使用者。
若要篩選結果,請在搜尋方塊中開始輸入您想要的使用者名稱。
-
在群組索引標籤上,選取要授予單一登入存取權的一或多個群組。
若要篩選結果,請在搜尋方塊中開始輸入您想要的群組名稱。
-
若要顯示您選取的使用者和群組,請選擇所選使用者和群組旁的側邊三角形。
-
在您確認已選取正確的使用者和群組之後,請選擇下一步。
-
-
針對步驟 2:選取許可集,在將許可集指派給 "
AWS-account-name" 頁面上,執行下列動作:-
選取一或多個許可集。如果需要,您可以建立和選取新的許可集。
-
若要選取一或多個現有的許可集,請在許可集下,選取您要套用至您在上一個步驟中選取之使用者和群組的許可集。
-
若要建立一或多個新的許可集,請選擇建立許可集,然後遵循 中的步驟建立許可集合。在您建立要套用的許可集之後,在 IAM Identity Center 主控台中,返回 AWS 帳戶 並遵循指示,直到您到達步驟 2:選取許可集為止。當您到達此步驟時,請選取您建立的新許可集,然後繼續此程序的下一個步驟。
-
-
在您確認已選取正確的許可集之後,請選擇下一步。
-
-
針對步驟 3:檢閱和提交,在檢閱並提交指派至 "
AWS-account-name" 頁面上,執行下列動作:-
檢閱選取的使用者、群組和許可集。
-
在您確認已選取正確的使用者、群組和許可集之後,請選擇提交。
考量事項
-
使用者和群組指派程序可能需要幾分鐘的時間才能完成。保持開啟此頁面,直到程序成功完成為止。
注意
您可能需要授予使用者或群組在 AWS Organizations 管理帳戶中操作的許可。因為這是高權限帳戶,所以額外的安全限制需要您擁有 IAMFullAccess
政策或同等許可,才能進行設定。您 AWS 組織中的任何成員帳戶不需要這些額外的安全限制。
-
-
如果下列任一情況適用,請依照中的步驟MFA 的提示使用者啟用 IAM Identity Center 的 MFA:
-
您使用預設的 Identity Center 目錄做為身分來源。
-
您使用 Active Directory 中的 AWS Managed Microsoft AD 目錄或自我管理目錄做為身分來源,而且您並未搭配 使用 RADIUS MFA AWS Directory Service。
注意
如果您使用的是外部身分提供者,請注意,外部 IdP 而非 IAM Identity Center 會管理 MFA 設定。外部 IdPs 不支援在 IAM Identity Center 中使用 MFA。
-
當您為管理使用者設定帳戶存取權時,IAM Identity Center 會建立對應的 IAM 角色。此角色由 IAM Identity Center 控制,在相關 中建立 AWS 帳戶,且許可集中指定的政策會連接到角色。
或者,您可以使用 AWS CloudFormation 來建立和指派許可集,並將使用者指派給這些許可集。然後,使用者可以登入 AWS 存取入口網站或使用 AWS Command Line Interface (AWS CLI) 命令。
