ACCT.04 - 分配权限

通过将策略分配给 IAM 身份（用户组或角色）来配置账户中的用户权限。您可以自定义权限，也可以附加AWS 托管策略，这些策略是独立策略，旨在为许多常见用例提供权限。 AWS 如果您自定义权限，请遵循授予最低权限的安全最佳实践。最低权限是授予每个用户执行任务所需的最低权限集的做法。

如果您使用联合身份，用户将通过外部身份提供者承担 IAM 角色访问账户。IAM 角色定义了允许经过贵组织的 IdP 身份验证的用户在其中执行的操作。 AWS您可以将自定义或 AWS 托管策略应用于此角色来配置权限。

若要为联合身份分配权限

如果您使用的是 IAM Identity Center，请参阅 Use IAM policies in permission sets（IAM Identity Center 文档）。

如果您使用的是外部或第三方 IdP，请参阅 Adding IAM identity permissions（IAM 文档）。

如果您使用的是 IAM 用户，则可以使用用户组或角色来管理多个 IAM 用户的权限。我们建议初创企业使用用户组，因为它们更容易管理，也不容易出现可能会给账户带来安全风险的配置错误。根据用户的工作职能将用户分配到用户组。用户组的示例包括应用程序、数据、网络和开发运营 (DevOps) 工程师。您还可以根据决策权限将用户类型划分为较小的用户组，比如高级或非高级工程师。

若要分配 IAM 用户权限

创建 IAM 用户组（IAM 文档）。
将@@ AWS 托管策略附加到 IAM 用户组（IAM 文档）。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

ACCT.03 - 配置控制台访问权限

ACCT.05 - 需要 MFA