为工作职能创建权限集 - AWS IAM Identity Center
创建应用最低权限的权限集

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为工作职能创建权限集

权限集存储在 Ident IAM ity Center 中,用于定义用户和组对权限的访问级别 AWS 账户。 您创建的第一个权限集是管理权限集。如果您完成了任意一套 IAM身份中心入门教程,则表示您已经创建了管理权限集。使用此过程创建权限集,如中所述 AWS 《IAM用户指南》中的工作职能托管策略主题。

  1. 执行以下任一操作登录 AWS Management Console.

    • 新手 AWS (root 用户)— 以账户所有者的身份登录,方法是选择 Root 用户并输入你的 AWS 账户 电子邮件地址。在下一页上,输入您的密码。

    • 已经在使用了 AWS (IAM凭据)-使用具有管理权限的IAM凭据登录。

  2. 打开IAM身份中心控制台

  3. 在 IAM Identity Center 导航窗格的多账户权限下,选择权限集

  4. 选择创建权限集

    1. 选择权限集类型页面的权限集类型部分,选择预定义的权限集

    2. 预定义权限集的策略部分,选择以下选项之一:

      • AdministratorAccess

      • Billing

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. 指定权限集详细信息页面上,保留默认设置并选择下一步。默认设置将您的会话限制为一小时。

  6. 查看并创建页面上,确认以下信息:

    1. 对于 “步骤 1:选择权限集类型”,显示您选择的权限集类型。

    2. 对于 “步骤 2:定义权限集详细信息”,显示您选择的权限集的名称。

    3. 选择创建

创建应用最低权限的权限集

要遵循应用最低权限的最佳实践,请在创建管理权限集之后,创建一个限制性更强的权限集并将其分配给一个或多个用户。在之前过程中创建的权限集将提供一个起点,让您评估为用户访问所需的资源分配多少访问权限。要切换到最低权限权限,你可以运行 A IAM ccess Analyzer 来监控主体 AWS 托管策略。了解他们使用的权限后,您可以编写自定义策略或生成仅包含团队所需权限的策略。

通过 I IAM dentity Center,您可以为同一个用户分配多个权限集。您还应该为管理用户分配其他限制性更强的权限集。这样,他们就可以访问你的 AWS 账户 只拥有所需的权限,而不是总是使用他们的管理权限。

例如,如果您是一名开发人员,则在 Ident IAM ity Center 中创建管理用户后,可以创建授予权限的新PowerUserAccess权限集,然后将该权限集分配给自己。与使用权限的管理AdministratorAccess权限集不同,该PowerUserAccess 权限集不允许管理IAM用户和组。当你登录时 AWS 访问门户网站以访问您的 AWS 帐户,您可以选择PowerUserAccess而不是AdministratorAccess在帐户中执行开发任务。

请注意以下事项:

  • 要快速开始创建限制性更强的权限集,请使用预定义的权限集而不是自定义权限集。

    使用使用预定义权限的预定义权限集,您可以选择一个权限集 AWS 可用策略列表中的托管策略。每项策略都授予特定级别的访问权限 AWS 服务和资源或常见工作职能的权限。有关每项政策的信息,请参阅 AWS 工作职能的托管策略

  • 您可以为权限集配置会话持续时间,以控制用户登录的时长 AWS 账户.

    当用户联合到他们的 AWS 账户 并使用 AWS 管理控制台或 AWS 命令行界面 (AWS CLI),IAMIdentity Center 使用权限集上的会话持续时间设置来控制会话的持续时间。默认情况下,会话持续时间的值,它决定了用户可以登录的时间长度 AWS 账户 以前 AWS 登录用户退出会话,设置为一小时。可以指定的最大值为 12 小时。有关更多信息,请参阅 将会话持续时间设置为 AWS 账户

  • 您也可以配置 AWS 访问门户会话持续时间以控制员工用户登录门户的时间长度。

    默认情况下,“最大会话持续时间” 的值决定了员工用户可以登录的时间长度 AWS 在他们必须重新进行身份验证之前访问门户需要八个小时。可以将最大值指定为 90 天。有关更多信息,请参阅 配置会话持续时间 AWS 访问门户和IAM身份中心集成应用程序

  • 当你登录时 AWS 访问门户,选择提供最低权限权限的角色。

    您创建并分配给用户的每个权限集都作为可用角色显示在 AWS 访问门户。当您以该用户身份登录门户时,请选择与可用于在帐户中执行任务的最严格的权限集相对应的角色,而不是 AdministratorAccess

  • 您可以将其他用户添加到 Ident IAM ity Center,并为这些用户分配现有或新的权限集。

    有关信息,请参阅分配 AWS 账户 群组的访问权限