本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
委派管理
委派管理為已註冊成員帳戶中的指派使用者提供了一種便利的方式,以執行大部分的 IAM 身分中心管理工作。啟用 IAM 身分中心時, AWS Organizations 依預設會在中的管理帳戶中建立您的 IAM 身分中心執行個體。這原本是以這種方式設計的,讓 IAM 身分中心可以在組織的所有成員帳戶中佈建、取消佈建和更新角色。即使您的 IAM 身分中心執行個體必須始終位於管理帳戶中,您也可以選擇將 IAM 身分中心的管理委派給中的成員帳戶 AWS Organizations,進而擴展從管理帳戶外部管理 IAM 身分中心的能力。
啟用委派管理可提供下列優點:
-
將需要存取管理帳戶的人數減至最少,以協助減輕安全性考量
-
允許選取的管理員將使用者和群組指派給應用程式和組織的成員帳戶
如需 IAM 身分中心如何搭配使用的詳細資訊 AWS Organizations,請參閱管理存取 AWS 帳戶。如需其他資訊,並檢閱示範如何設定委派管理的公司案例,請參閱AWS
安全部落格中的 IAM Identity Center 委派管理入門
最佳實務
以下是設定委派管理之前,應考量的一些最佳作法。
-
授與管理帳戶最少權限 — 知道管理帳戶是具有高度權限的帳戶,並且為了遵守最低權限的主體,我們強烈建議您將管理帳戶的存取權限制為盡可能少的使用者。委派的系統管理員功能旨在將需要存取管理帳戶的人數降至最低。
-
建立僅在管理帳戶中使用的權限集 — 這可讓您更輕鬆地管理專為存取管理帳戶的使用者量身打造的權限集,並有助於將它們與委派管理員帳戶所管理的權限集區分開來。
-
考慮您的作用中目錄位置 — 如果您計劃使用 Active Directory 做為 IAM 身分中心身分識別來源,請在您已啟用 IAM 身分中心委派系統管理員功能的成員帳戶中找到目錄。如果您決定將 IAM 身分中心身分識別來源從任何其他來源變更為 Active Directory,或將其從 Active Directory 變更為任何其他來源,則該目錄必須位於 (由) IAM 身分中心委派管理員成員帳戶 (如果存在);否則,該目錄必須位於管理帳戶中。
-
僅在管理帳戶中建立使用者指派 — 委派的管理員無法更改管理帳戶中佈建的權限集。不過,委派管理員可以新增、編輯和刪除群組和群組指派。
必要條件
您必須先部署下列環境,才能將帳戶註冊為委派管理員:
-
AWS Organizations 除了您的預設管理帳戶之外,還必須啟用並設定至少一個成員帳戶。
-
如果您的身分識別來源設定為使用中目錄,則必須啟用此IAM 身分識別中心可設定 AD 同步功能。
註冊會員帳號
若要設定委派管理,您必須先將組織中的成員帳戶註冊為委派系統管理員。該成員帳戶中具有足夠權限的使用者將擁有 IAM 身分中心的管理存取權。成功註冊成員帳戶以進行委派管理之後,就稱為委派的系統管理員帳戶。若要深入瞭解委派管理員帳戶可執行的工作,請參閱AWS 帳戶 類型。
IAM 身分中心一次僅支援將一個成員帳戶註冊為委派的管理員。您只能在使用管理帳戶的憑據登錄時註冊會員帳戶。
使用下列程序,透過將 AWS 組織中的特定成員帳戶註冊為委派管理員,以授與 IAM Identity Center 的管理存取權。
重要
此操作會將 IAM 身分中心管理存取權委派給此成員帳戶中的管理員使用者。對此委派管理員帳戶具有足夠權限的所有使用者都可以從該帳戶執行所有 IAM Identity Center 管理任務,但下列情況除外:
-
啟用 IAM 身分識別中心
-
刪除 IAM 身分中心組態
-
管理管理帳戶中佈建的權限集
-
將其他成員帳戶註冊或取消註冊為委派管理員
-
啟用或停用管理帳戶中的使用者存取
委派的管理員可以編輯群組成員資格。
註冊會員帳號
-
AWS Management Console 使用您的管理帳戶的認證登入 AWS Organizations。執行 RegisterDelegatedAdministratorAPI 需要管理帳戶認證。
-
選取啟用 IAM 身分中心的區域,然後開啟 IAM 身分中心主控台
。 -
請選擇 [設定],然後選取 [管理] 索引標籤。
-
在 [委派管理員] 區段中,選擇 [註冊帳戶]。
-
在 [註冊委派的系統管理員] 頁面上,選取 AWS 帳戶 您要註冊的,然後選擇 [註冊帳戶]。
取消註冊成員帳戶
您只能在使用管理帳戶的認證登入時取消註冊成員帳戶。
請遵循下列程序,透過取消註冊 AWS 組織中先前指定為委派管理員的成員帳戶,以移除 IAM Identity Center 的管理存取權。
重要
取消註冊帳戶時,您可以有效地移除所有管理員使用者從該帳戶管理 IAM 身分中心的功能。因此,他們無法再從此帳戶管理 IAM 身分識別中心身分、存取管理、驗證或應用程式存取。此操作不會影響 IAM Identity Center 中設定的任何許可或指派,因此不會對您的使用者造成任何影響,因為他們將繼續可以 AWS 帳戶 從存取入口網站 AWS 存取其應用程式。
取消註冊會員帳戶
-
AWS Management Console 使用您的管理帳戶的認證登入 AWS Organizations。執行 DeregisterDelegatedAdministratorAPI 需要管理帳戶認證。
-
選取啟用 IAM 身分中心的區域,然後開啟 IAM 身分中心主控台
。 -
請選擇 [設定],然後選取 [管理] 索引標籤。
-
在 [委派管理員] 區段中,選擇 [取消註冊帳戶]。
-
在 [取消註冊帳戶] 對話方塊中,檢閱安全性隱患,然後輸入成員帳戶的名稱以確認您瞭解。
-
選擇「取消註冊帳戶」。
檢視哪個成員帳戶已註冊為委派管理員
請使用下列程序,找出您的哪個成員帳戶 AWS Organizations 已設定為 IAM 身分中心的委派管理員。
查看您的註冊會員帳戶
-
開啟 IAM 身分中心主控台
。 -
選擇設定。
-
在 [詳細資料] 區段中,在 [委派管理員] 底下找出已註冊的帳戶 您也可以選取「管理」頁籤,然後在「委派管理員」段落下檢視,來尋找此資訊。