我想使用 AWS IAM Identity Center(前身为 AWS Single Sign-On)权限集为用户和组提供 AWS 账户的访问权限。
解决方法
使用 IAM Identity Center 为用户或组创建权限集。然后,为账户中的用户和群组分配对 IAM Identity Center 的访问权限。最后,在用户门户中确认用户和群组是否具有正确的权限。
**注意:**在以下示例中,一位联合用户收到了 ViewOnlyAccess 权限集。
创建 ViewOnlyAccess 权限集
- 打开 IAM Identity Center 控制台。
- 在导航窗格的多账户权限下,选择权限集。
- 选择创建权限集。
- 在选择权限集类型页面的权限集类型下,选择预定义的权限集。
- 在预定义权限集的策略下,选择 ViewOnlyAccess,然后选择下一步。
- 在指定权限集详细信息页面上,选择下一步。
- 在查看并创建屏幕上,选择创建。控制台显示以下消息: “权限集‘ViewOnlyAccess’已成功创建。”
向 AWS 账户分配权限集
- 打开 IAM Identity Center 控制台。
- 在导航窗格的多账户权限下,选择 AWS 账户
- 在 AWS 账户页面上,选择要为其分配单点登录访问权限的一个或多个 AWS 账户。
- 选择分配用户或组。
- 在将用户和组分配给 AWS-account-Name 上的选定的用户和群组处,选择要为其创建权限集的用户。然后,选择下一步。
- 在查看并提交分配到 AWS-account-name 页面的查看并提交处,选择提交。控制台显示以下消息: “我们成功重新预置了您的 AWS 账户,并将更新的权限集应用于该账户。”
验证用户是否具有 ViewOnlyAccess 权限
- 打开 IAM Identity Center 控制台。
- 在导航窗格中,选择控制面板。
- 在设置页面的摘要下,选择 AWS 访问门户 URL。
- 使用您的 IAM Identity Center 用户名和密码登录访问门户。
- 选择 AWS 账户。
- 选择账户下拉列表以查看 ViewOnlyAcccess 权限。
- 在 ViewOnlyAccess 权限处,选择管理控制台。
移除或删除权限集
您可以从 AWS 账户中移除或删除权限集。在删除权限集之前,必须将其从所有帐户中移除。有关更多信息,请参阅删除权限集。
相关信息
单点登录访问 AWS 账户
创建权限集