使用默认的IAM身份中心目录配置用户访问权限 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用默认的IAM身份中心目录配置用户访问权限

首次启用 Ident IAM ity Center 时,它会自动使用身份中心目录配置为默认身份源,因此您无需选择身份源。如果您的组织使用其他身份提供商,例如 AWS Directory Service for Microsoft Active Directory, Microsoft Entra ID,或 Okta 考虑将该身份源与 Ident IAM ity Center 集成,而不是使用默认配置。

目标

在本教程中,您将使用默认目录作为身份源,并设置和测试用户访问权限。在这种情况下,您可以管理 Ident IAM ity Center 中的所有用户和群组。用户通过登录 AWS 访问门户。本教程适用于不熟悉本教程的用户 AWS 或者用于管理用户和群组的。IAM在接下来的步骤中,您将创建以下内容:

  • 名为的管理用户 Nikki Wolf

  • 一个名为的群组 Admin team

  • 名为的权限集 AdminAccess

要验证所有内容是否正确创建,您需要登录并设置管理员用户的密码。完成本教程后,您可以使用管理用户在 Ident IAM ity Center 中添加更多用户、创建其他权限集以及设置对应用程序的组织访问权限。

如果您尚未启用 Ident IAM ity Center,请参阅正在启用 AWS IAM Identity Center

执行以下任一操作登录 AWS Management Console.

  • 新手 AWS (root 用户)— 选择以账户所有者的身份登录 AWS 账户 root 用户并输入你的 AWS 账户 电子邮件地址。在下一页上,输入您的密码。

  • 已经在使用了 AWS (IAM凭据)-使用具有管理权限的IAM凭据登录。

打开IAM身份中心控制台

  1. 在 IAM Identity Center 导航窗格中,选择用户,然后选择添加用户

  2. 指定用户详细信息页面,填写以下信息:

    • 用户名-对于本教程,请输入 nikkiw.

      创建用户时,请选择易于记忆的用户名。您的用户必须记住用户名才能登录 AWS 访问门户,您以后无法对其进行更改。

    • 密码 - 选择向该用户发送包含密码设置说明的电子邮件(推荐)

      此选项会向用户发送一封来自 Amazon Web Services 的电子邮件,其主题行是邀请他们加入IAM身份中心。电子邮件发自 no-reply@signin.awsno-reply@login.awsapps.com。将这些电子邮件地址添加到您允许的发件人列表中。

    • 电子邮件地址 - 输入用户电子邮件地址,您可以通过该地址接收电子邮件。然后,再次输入以确认。每个用户的电子邮件地址必须唯一。

    • 名字 - 输入用户的名字。在本教程中,请输入 Nikki.

    • 姓氏 - 输入用户姓氏。在本教程中,请输入 Wolf.

    • 显示名称 - 默认值为用户的名字和姓氏。如果要更改显示名称,可以输入不同的名称。显示名称会显示在登录门户和用户列表中。

    • 如果需要,请填写可选信息。本教程不会用到它们,您可以稍后更改。

  3. 选择下一步。此时将出现将用户添加到组页面。我们将创建一个群组来分配管理权限,而不是直接授予管理权限 Nikki.

    选择创建组

    此时将打开一个新的浏览器选项卡,以显示创建组页面。

    1. 组详细信息下的组名称中,输入组的名称。我们建议输入一个能表明组角色的组名称。在本教程中,请输入 Admin team.

    2. 选择创建组

    3. 关闭浏览器选项卡,返回添加用户浏览器选项卡

  4. 区域,选择刷新按钮。这些区域有:Admin team 群组出现在列表中。

    选中旁边的复选框 Admin team,然后选择 “下一步”。

  5. 查看并添加用户页面,确认以下信息:

    • 主要信息会按您的预期显示

    • “组”显示已添加到您创建的组中的用户

    如果需要进行更改,请选择编辑。如果所有详细信息都正确,选择添加用户

    此时将显示一条通知消息,告知您用户已添加。

接下来,您将添加管理权限 Admin team 分组这样 Nikki 可以访问资源。

  1. 在 IAM Identity Center 导航窗格的多账户权限下,选择 AWS 账户.

  2. 在存储库的 AWS 账户页面组织结构在层次结构中显示您的组织及其下方的帐户。选中管理账户对应的复选框,然后选择分配用户或组

  3. 此时将显示分配用户和组工作流程。它包括三个步骤:

    1. 对于步骤 1:选择用户和群组,请选择 Admin team 您创建的群组。然后选择下一步

    2. 对于步骤 2:选择权限集,选择创建权限集,以打开新的标签页,它将引导您完成创建权限集所涉及的三个子步骤。

      1. 对于步骤 1:选择权限集类型,请完成以下操作:

        • 权限集类型中,选择预定义权限集

        • 预定义权限集的策略中,选择AdministratorAccess

        选择下一步

      2. 对于步骤 2:指定权限集详细信息,保留默认设置,并选择下一步

        默认设置会创建一个名为的权限集 AdministratorAccess 会话持续时间设置为一小时。您可以通过在权限集名称字段中输入新名称来更改权限集的名称

      3. 对于 “步骤 3:查看并创建”,请验证权限集类型是否使用 AWS 托管策略AdministratorAccess。选择创建权限集页面会显示通知,告知您权限集已创建。您可以在网络浏览器中关闭此标签页。

      分配用户和组浏览器标签页,您仍处于步骤 2:选择权限集,您将在这里启动创建权限集工作流程。

      权限集区域,选择刷新按钮。这些区域有:AdministratorAccess 您创建的权限集将出现在列表中。选中该权限集的复选框,然后选择 “下一步”。

    3. 在 “步骤 3:查看并提交作业” 页面上,确认 Admin team 已选择群组,并且 AdministratorAccess 已选择权限集,然后选择 “创建”。

      页面更新时会显示一条消息,说明您的 AWS 账户 正在配置中。等待该过程完成。

      你将返回到 AWS 账户 页面。通知消息告知您您的 AWS 账户 已重新配置并应用了更新的权限集。

恭喜您!

您已成功设置第一个用户、组和权限集。

在本教程的下一部分中,您将测试 Nikki's 通过登录进行访问 AWS 使用他们的管理凭证访问门户并设置他们的密码。现在,注销控制台。

现在 Nikki Wolf 是您组织中的用户,他们可以登录并根据其权限集访问被授予权限的资源。要验证用户配置是否正确,在下一步中,您将使用 Nikki's 登录和设置密码的凭据。当你添加用户时 Nikki Wolf 在第 1 步中,你选择了 Nikki 收到一封包含密码设置说明的电子邮件。现在,您可以打开该电子邮件,并执行以下操作:

  1. 在电子邮件中,选择接受邀请链接,以接受邀请。

    注意

    该电子邮件还包括 Nikki's 用户名和 AWS 访问URL他们将用于登录组织的门户。记录这些信息,以供将来使用。

    您将被带到新用户注册页面,您可以在其中进行设置 Nikki's 密码。

  2. 设置后 Nikki's 密码,您将被导航到 “登录” 页面。Enter nikkiw 然后选择 “下一步”,然后输入 Nikki's 密码并选择 “登录”。

  3. 这些区域有: AWS 访问门户打开,显示您可以访问的组织和应用程序。

    选择组织将其展开为以下列表 AWS 账户 然后选择该帐户以显示可用于访问该账户中资源的角色。

    每个权限集都有两种可供您使用的管理方法,即角色密钥或访问密钥

    • 例如,角色 AdministratorAccess -打开 AWS Console Home.

    • 访问密钥-提供可用于的凭据 AWS CLI 或者和 AWS SDK。包含会自动刷新的短期凭证或短期访问密钥的使用信息。有关更多信息,请参阅 获取IAM身份中心用户凭证 AWS CLI 或者 AWS SDKs

  4. 选择 “角色” 链接以登录 AWS Console Home.

您已登录并导航到 AWS Console Home 页面。浏览控制台,并确认您拥有预期的访问权限。

现在,您已经在 Ident IAM ity Center 中创建了管理用户,您可以:

在您的用户接受激活账户的邀请并登录后 AWS 访问门户,门户中显示的唯一项目是用于 AWS 账户、角色和分配给他们的应用程序。

重要

我们强烈建议您为用户启用多因素身份验证 (MFA)。有关更多信息,请参阅 Identity Center 用户的多重身份验证