本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立許可集


使用此程序建立使用單一 AWS 受管政策的預先定義許可集，或使用最多 10 AWS 個受管或客戶受管政策和內嵌政策的自訂許可集。您可以在 [Service Quotas 主控台](https://console.aws.amazon.com/servicequotas)中請求調整 IAM 的 10 個政策數目上限。您可以在 IAM Identity Center 主控台中建立許可集。

**注意**  
若要使用許可集，您需要使用 IAM Identity Center 的組織執行個體。如需詳細資訊，請參閱[IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。

**建立許可集合**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在**多帳戶許可**下，選擇**許可集**。

1. 選擇 **Create permission set (建立許可集合)**。

1. 在**選取許可集類型**頁面的**許可集類型**下，選取許可集類型。

1. 根據許可集類型，選擇您要用於許可集的一或多個政策：
   + **預先定義的許可集**

     1. 在**預先定義許可集的政策**下，選取清單中的其中一個 IAM **任務函數政策**或**常見許可政策**，然後選擇**下一步**。如需詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[AWS 任務函數的 受管政策和](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

     1. 前往步驟 6 以完成**指定許可集詳細資訊**頁面。
   + **自訂許可集**

     1. 選擇**下一步**。

     1. 在**指定政策和許可界限**頁面上，選擇要套用至新許可集的 IAM 政策類型。根據預設，您可以將最多 10 個**AWS 受管政策和****客戶受管政策**的任意組合新增至您的許可集。此配額由 IAM 設定。若要提高配額， AWS 帳戶 請在您要指派許可集的每個 中的 Service Quotas 主控台中，請求增加*連接到 IAM 角色的 IAM 配額受管政策*。
        + 展開**AWS 受管政策**，從 AWS 建立和維護的 IAM 新增政策。如需詳細資訊，請參閱[AWS 受管政策](permissionsetcustom.md#permissionsetsampconcept)。

          1. 在許可集中搜尋並選擇您要套用至使用者的**AWS 受管政策**。

          1. 如果您想要新增其他類型的政策，請選擇其容器並進行選擇。當您已選擇您要套用的所有政策時，請選擇**下一步**。前往步驟 6 以完成**指定許可集詳細資訊**頁面。
        + 展開**客戶受管政策**，從您建置和維護的 IAM 新增政策。如需詳細資訊，請參閱[客戶管理政策](permissionsetcustom.md#permissionsetscmpconcept)。

          1. 選擇**連接政策**，然後輸入您要新增至許可集的政策名稱。在您要指派許可集的每個帳戶中，使用您輸入的名稱建立政策。最佳實務是將相同的許可指派給每個帳戶中的政策。

          1. 選擇**連接更多**以新增其他政策。

          1. 如果您想要新增其他類型的政策，請選擇其容器並進行選擇。當您已選擇您要套用的所有政策時，請選擇**下一步**。前往步驟 6 以完成**指定許可集詳細資訊**頁面。
        + 展開**內嵌政策**以新增自訂 JSON 格式的政策文字。內嵌政策不會對應至現有的 IAM 資源。若要建立內嵌政策，請在提供的表單中輸入自訂政策語言。IAM Identity Center 會將政策新增至其在成員帳戶中建立的 IAM 資源。如需詳細資訊，請參閱[內嵌政策](permissionsetcustom.md#permissionsetsinlineconcept)。

          1. 在互動式編輯器中將所需的動作和資源新增至內嵌政策。您可以使用新增陳述式**來新增其他陳述式**。

          1. 如果您想要新增其他類型的政策，請選擇其容器並進行選擇。當您已選擇您要套用的所有政策時，請選擇**下一步**。前往步驟 6 以完成**指定許可集詳細資訊**頁面。
        + 展開**許可界限**，將 AWS 受管或客戶受管 IAM 政策新增為許可集中其他政策可指派的最大許可。如需詳細資訊，請參閱[許可界限](permissionsetcustom.md#permissionsetsboundaryconcept)。

          1. 選擇**使用許可界限來控制許可上限**。

          1. 選擇 **AWS 受管政策**，從 IAM 設定政策，以*AWS*建置和維護 作為您的許可界限。選擇**客戶受管政策**，從 **IAM 設定您建置和維護的政策作為許可界限。

          1. 如果您想要新增其他類型的政策，請選擇其容器並進行選擇。當您已選擇您要套用的所有政策時，請選擇**下一步**。前往步驟 6 以完成**指定許可集詳細資訊**頁面。

1. 在**指定許可集詳細資訊**頁面上，執行下列動作：

   1. 在**許可集名稱**下，輸入名稱以在 IAM Identity Center 中識別此許可集。您為此許可集指定的名稱會在 AWS 存取入口網站中顯示為可用角色。使用者登入 AWS 存取入口網站，選擇 AWS 帳戶，然後選擇角色。
**注意**  
許可集名稱在您的 IAM Identity Center 執行個體中必須是唯一的。

   1. (選用) 您也可以輸入描述。描述只會出現在 IAM Identity Center 主控台中，而不會出現在 AWS 存取入口網站中。

   1. （選用） 指定**工作階段持續時間**的值。此值決定在主控台將使用者登出其工作階段之前，使用者可登入的時間長度。如需詳細資訊，請參閱[設定 的工作階段持續時間 AWS 帳戶](howtosessionduration.md)。

   1. （選用） 指定**轉送狀態**的值。此值用於聯合程序，以重新導向帳戶內的使用者。如需詳細資訊，請參閱[設定轉送狀態以快速存取 AWS 管理主控台](howtopermrelaystate.md)。
**注意**  
轉送狀態 URL 必須在 內 AWS 管理主控台。例如：  
**https://console.aws.amazon.com/ec2/**

   1. 展開**標籤 （選用）**，選擇**新增標籤**，然後指定**索引鍵**和**值的值 （選用）**。

      如需標籤的相關資訊，請參閱[標記 AWS IAM Identity Center 資源](tagging.md)。

   1. 選擇**下一步**。

1. 在**檢閱和建立**頁面上，檢閱您所做的選擇，然後選擇**建立**。

1. 根據預設，當您建立許可集時，不會佈建許可集 （用於任何 AWS 帳戶)。若要在 中佈建許可集 AWS 帳戶，您必須將 IAM Identity Center 存取權指派給帳戶中的使用者和群組，然後將許可集套用至這些使用者和群組。如需詳細資訊，請參閱[將使用者或群組存取權指派給 AWS 帳戶](assignusers.md)。