本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用預設 IAM Identity Center 目錄設定使用者存取權
<a name="quick-start-default-idc"></a>

當您第一次啟用 IAM Identity Center 時，會自動設定 Identity Center 目錄做為您的預設身分來源，因此您不需要選擇身分來源。如果您的組織使用其他身分提供者，例如 Microsoft Active Directory、 或 Microsoft Entra ID，Okta請考慮將該身分來源與 IAM Identity Center 整合，而不是使用預設組態。

**目標**

在本教學課程中，您將使用預設目錄做為身分來源和 IAM Identity Center 組織執行個體，以設定和測試管理使用者。此管理使用者會建立和管理使用者和群組，並使用許可集授予 AWS 存取權。在後續步驟中，您將建立下列項目：
+ 名為 {{Nikki Wolf}} 的管理使用者
+ 名為 {{Admin 團隊的}}群組
+ 名為 {{AdminAccess}} 的許可集

若要驗證一切是否已正確建立，您將登入並設定管理使用者的密碼。完成本教學課程後，您可以使用管理使用者在 IAM Identity Center 中新增更多使用者、建立其他許可集，以及設定應用程式的組織存取權。或者，如果您想要授予使用者存取應用程式的權限，您可以遵循此程序[的步驟 1](#gs-qs-step1) 並[設定應用程式存取](manage-your-applications.md)。

## 先決條件
<a name="prereqs-qs"></a>

完成本教學課程需要下列先決條件：
+ [啟用 IAM Identity Center](enable-identity-center.md) 和 具有 [IAM Identity Center 的組織執行個體](organization-instances-identity-center.md)。
  + 如果您有 IAM Identity Center [的帳戶執行個體](account-instances-identity-center.md)，您可以建立使用者和群組，並授予他們存取應用程式的權限。如需詳細資訊，請參閱[應用程式存取](manage-your-applications.md)。
+ 登入 AWS 管理主控台 ，並以下列任一方式存取 IAM Identity Center 主控台：
  + **新使用者 AWS （根使用者）** – 選擇**AWS 帳戶 根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者的身分登入。在下一頁中，輸入您的密碼。
  + **已使用 AWS (IAM 登入資料）** – 使用具有管理許可的 IAM 登入資料登入。
    + 如需登入 的更多說明 AWS 管理主控台，請參閱 [AWS 登入 指南。](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ 您可以為 IAM Identity Center 使用者設定多重驗證。如需詳細資訊，請參閱[在 IAM Identity Center 中設定 MFA](mfa-configure.md)。

## 步驟 1：新增使用者
<a name="gs-qs-step1"></a>

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在 IAM Identity Center 導覽窗格中，選擇**使用者**，然後選取**新增使用者**。

1. 在**指定使用者詳細資訊**頁面上，完成下列資訊：
   + **使用者名稱** - 在本教學課程中，輸入 {{nikkiw}}。

     建立使用者時，請選擇容易記住的使用者名稱。您的使用者必須記住使用者名稱才能登入 AWS 存取入口網站，而且您稍後無法變更。
   + **密碼** - 選擇**使用密碼設定指示 （建議） 傳送電子郵件給此使用者**。

     此選項會傳送來自 Amazon Web Services 的電子郵件給使用者，主旨行**邀請加入 IAM Identity Center**。電子郵件來自 `no-reply@signin.aws`或 `no-reply@login.awsapps.com`。將這些電子郵件地址新增至已核准的寄件者清單。
   + **電子郵件地址** - 輸入您可以接收電子郵件之使用者的電子郵件地址。然後，再次輸入以確認。每個使用者都必須有唯一的電子郵件地址。
   + **名字** - 輸入使用者的名字。在本教學課程中，輸入 {{Nikki}}。
   + **姓氏** - 輸入使用者的姓氏。在本教學課程中，輸入 {{Wolf}}。
   + **顯示名稱** - 預設值為使用者的名字和姓氏。如果您想要變更顯示名稱，您可以輸入不同的名稱。顯示名稱會顯示在登入入口網站和使用者清單中。
   + 視需要填寫選用資訊。在本教學課程中不會使用它，您可以稍後進行變更。

1. 選擇**下一步**。**將使用者新增至群組**頁面隨即出現。我們將建立一個群組來指派管理許可給 ，而不是直接將它們提供給 {{Nikki}}。

   選擇**建立群組** 

   新的瀏覽器索引標籤隨即開啟，顯示**建立群組**頁面。

   1. 在**群組詳細資訊**下，在**群組名稱**中輸入群組的名稱。我們建議使用群組名稱來識別群組的角色。在本教學課程中，輸入{{管理員團隊}}。

   1. 選擇**建立群組**

   1. 關閉**群組**瀏覽器索引標籤以返回**新增使用者**瀏覽器索引標籤

1. 在**群組**區域中，選取**重新整理**按鈕。{{管理員團隊}}群組會出現在清單中。

   選取{{管理員團隊}}旁的核取方塊，然後選擇**下一步**。

1. 在**檢閱和新增使用者**頁面上，確認下列事項：
   + 主要資訊會如您預期般顯示
   + 群組會顯示新增至您建立之群組的使用者

   如需變更，請選擇 **Edit** (編輯)。當所有詳細資訊都正確時，請選擇**新增使用者**。

   通知訊息會通知您已新增使用者。

接下來，您將新增{{管理員團隊}}群組的管理許可，以便 {{Nikki}} 可以存取 資源。

## 步驟 2：新增管理許可
<a name="gs-qs-step2"></a>
**重要**  
只有在您啟用 [IAM Identity Center 的組織執行個體](identity-center-instances.md)時，才能執行下列步驟。

1. 在 IAM Identity Center 導覽窗格中的**多帳戶許可**下，選擇 **AWS 帳戶**。

1. 在 **AWS 帳戶**頁面上，**組織結構**會在階層中顯示您的組織及其下的帳戶。選取管理帳戶的核取方塊，然後選取**指派使用者或群組**。

1. 此時會顯示**指派使用者和群組**工作流程。它包含三個步驟：

   1. 針對**步驟 1：選取使用者和群組**，選擇您建立的{{管理員團隊}}群組。然後選擇**下一步**。

   1. 針對**步驟 2：選取許可集**選擇**建立許可集**，以開啟新標籤，逐步引導您完成建立許可集所涉及的三個子步驟。

      1. 對於**步驟 1：選取許可集類型**完成下列項目：
         + 在**許可集類型**中，選擇**預先定義的許可集**。
         + 在**預先定義許可集的政策**中，選擇 **AdministratorAccess**。

         選擇**下一步**。

      1. 對於**步驟 2：指定許可集詳細資訊**，保留預設設定，然後選擇**下一步**。

         預設設定會建立名為 {{AdministratorAccess}} 的許可集，並將工作階段持續時間設定為一小時。您可以在許可集名稱欄位中輸入新名稱，以變更**許可集的名稱**。

      1. 針對**步驟 3：檢閱和建立**，確認**許可集類型**使用 AWS 受管政策 **AdministratorAccess**。選擇**建立**。在**許可集**頁面上會出現通知，通知您已建立許可集。您現在可以在 Web 瀏覽器中關閉此索引標籤。

      在**指派使用者和群組**瀏覽器索引標籤上，您仍在**步驟 2：選取您從中開始建立許可集**工作流程的許可集。

      在**許可集**區域中，選擇**重新整理**按鈕。您建立的 {{AdministratorAccess}} 許可集會出現在清單中。選取該許可集的核取方塊，然後選擇**下一步**。

   1. 在**步驟 3：檢閱並提交指派**頁面上，確認已選取{{管理員團隊}}群組，且已選取 {{AdministratorAccess}} 許可集，然後選擇**提交**。

      頁面會以 AWS 帳戶 正在設定 的訊息進行更新。等待程序完成。

      您會返回 AWS 帳戶 頁面。通知訊息會通知您 AWS 帳戶 ，您的 已重新佈建並套用更新的許可集。

**恭喜您！**  
您已成功設定第一個使用者、群組和許可集。

在本教學課程的下一部分中，您將使用其管理登入資料登入存取入口網站並設定其密碼，以測試 {{Nikki 的}} AWS 存取。立即登出 主控台。

## 步驟 3：測試使用者存取許可
<a name="gs-qs-step3"></a>

現在 {{Nikki Wolf}} 是您組織中的使用者，他們可以登入並存取根據其許可集授予許可的資源。若要驗證使用者是否已正確設定，在下一個步驟中，您將使用 {{Nikki 的}}登入資料來登入並設定其密碼。當您在步驟 1 新增使用者 {{Nikki Wolf}} 時，您選擇讓 {{Nikki}} 收到包含密碼設定指示的電子郵件。是時候開啟該電子郵件並執行下列動作：

1. 在電子郵件中，選取**接受邀請**連結以接受邀請。
**注意**  
電子郵件也包含 {{Nikki 的}}使用者名稱，以及他們將用來登入組織的 AWS 存取入口網站 URL。記錄此資訊以供日後使用。

   系統會將您導向**新使用者註冊**頁面，您可以在其中設定 {{Nikki }}的密碼並[註冊其 MFA 裝置](enable-mfa.md)。

1. 設定 {{Nikki }}的密碼後，您會導覽至**登入**頁面。輸入 {{nikkiw}}，然後選擇**下一步**，然後輸入 {{Nikki }}的密碼，然後選擇**登入**。

1.  AWS 存取入口網站隨即開啟，顯示您可以存取的組織和應用程式。

   選取組織以將其展開至 清單 AWS 帳戶 ，然後選取帳戶以顯示您可用來存取帳戶中資源的角色。

    每個許可集都有兩種您可以使用的管理方法，即**角色**或**存取金鑰**。
   + **角色**，例如 {{AdministratorAccess}} - 開啟 AWS Console Home。
   + **存取金鑰** - 提供您可以搭配 AWS CLI 或 和 AWS SDK 使用的登入資料。包括使用自動重新整理的短期登入資料或短期存取金鑰的資訊。如需詳細資訊，請參閱[取得 AWS CLI AWS SDKs 的 IAM Identity Center 使用者憑證](howtogetcredentials.md)。

1. 選擇**角色**連結以登入 AWS Console Home。

 您已登入並導覽至 AWS Console Home 頁面。探索 主控台，確認您擁有預期的存取權。

## 後續步驟
<a name="gs-qs-next-steps"></a>

現在您已在 IAM Identity Center 中建立管理使用者，您可以：
+ [指派應用程式](manage-your-applications.md)
+ [新增其他使用者](addusers.md)
+ [將使用者指派給帳戶](assignusers.md)
+ [設定其他許可集](howtocreatepermissionset.md)
**注意**  
您可以將多個許可集指派給相同的使用者。若要遵循套用最低權限許可的最佳實務，請在建立管理使用者之後建立更嚴格的許可集，並將其指派給相同的使用者。如此一來，您 AWS 帳戶 只可以使用所需的許可來存取 ，而不是管理許可。

您的使用者[接受啟用其帳戶的邀請](howtoactivateaccount.md)並登入 AWS 存取入口網站後，入口網站中出現的唯一項目是針對他們獲指派的 AWS 帳戶、 角色和應用程式。