本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定緊急存取之前,請建立存取模型運作方式的計劃。請使用下列程序來建立此計劃。
識別在中斷 IAM Identity Center 期間,緊急操作員存取的必要 AWS 帳戶 位置。例如,您的生產帳戶可能是必要的,但您的開發和測試帳戶可能不是如此。
對於該帳戶集合,識別您在帳戶中需要的特定關鍵角色。在這些帳戶中,在定義角色可以執行的操作時保持一致。這可簡化您在建立跨帳戶角色的緊急存取帳戶中的工作。我們建議您從這些帳戶中的兩個不同角色開始:唯讀 (RO) 和操作 (Ops)。如果需要,您可以建立更多角色,並將這些角色映射到設定中更不同的緊急存取使用者群組。
識別並建立 IdP 中的緊急存取群組。群組成員是您委派緊急存取角色存取權的使用者。
定義這些群組可以在緊急存取帳戶中擔任的角色。若要這樣做,請在 IdP 中定義規則,以產生宣告,列出群組可存取的角色。然後,這些群組可以在緊急存取帳戶中擔任您的唯讀或操作角色。從這些角色中,他們可以在您的工作負載帳戶中擔任對應的角色。
