建立許可集合 - AWS IAM Identity Center
建立套用最低權限權限的權限集

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立許可集合

權限集會儲存在 IAM 身分中心,並定義使用者和群組必須存取的存取層級 AWS 帳戶。您建立的第一個權限集是系統管理權限集。如果您已完成其中入門教學課程一個已建立您的系統管理權限集。使用此程序建立權限集,如 IAM 使用者指南的AWS 受管工作職能政策主題中所述。

  1. 請執行下列任一項作業,以登入 AWS Management Console。

    • [新增至 AWS (root 使用者)] — 選擇 [根使用者] 並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入。在下一頁中,輸入您的密碼。

    • 已在使用 AWS (IAM 登入資料) — 使用具有管理許可的 IAM 登入資料登入。

  2. 開啟 IAM 身分中心主控台

  3. 在「IAM 身分中心」導覽窗格的「多帳戶權限」下,選擇「權限」。

  4. 選擇 Create permission set (建立許可集合)

    1. 在 [選取權限集類型] 頁面的 [權限集類型] 區段中,選擇 [預先定義的權限集]。

    2. 在 [預先定義權限集的原則] 區段中,選擇下列其中一項:

      • AdministratorAccess

      • 帳單

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. 在 [指定權限集詳細資料] 頁面上,保留預設設定,然後選擇 [下一步]。預設設定會將工作階段限制為一小時。

  6. 在「檢閱並建立」頁面上,確認下列項目:

    1. 對於步驟 1:選取權限集類型,會顯示您選擇的權限集類型。

    2. 對於步驟 2:定義權限集詳細資訊,會顯示所選權限集的名稱。

    3. 選擇建立

建立套用最低權限權限的權限集

若要遵循套用最低權限權限的最佳作法,建立系統管理權限集之後,您可以建立更嚴格的權限集,並將其指派給一或多個使用者。在上一個程序中建立的權限集,可讓您評估使用者所需資源存取量的起點。若要切換至最低權限許可,您可以執行 IAM Access Analyzer 來監視具有 AWS 受管政策的主體。瞭解他們正在使用哪些權限之後,您可以撰寫自訂原則或產生僅具有團隊所需權限的原則。

使用 IAM 身分中心,您可以將多個權限集指派給同一位使用者。您的系統管理使用者也應該被指派其他、更具限制性的權限集。這樣,他們只能使用所需 AWS 帳戶 的權限來訪問您的,而不是始終使用其管理權限。

例如,如果您是開發人員,在 IAM Identity Center 中建立管理使用者之後,您可以建立授與許可的新PowerUserAccess權限集,然後將該權限集指派給您自己。與使用AdministratorAccess權限的管理權限集不同,權限集不允許管理 IAM 使用者和群組。PowerUserAccess 當您登入 AWS 存取入口網站以存取您的 AWS 帳戶時,您可以選擇PowerUserAccess而不是在AdministratorAccess帳戶中執行開發工作。

請謹記以下幾點考量:

  • 若要快速開始建立更嚴格的權限集,請使用預先定義的權限集而非自訂權限集。

    使用預先定義的權限集 (使用預先定義的權限),您可以從可用原則清單中選擇單一 AWS 受管理的原則。每個原則都會授與特定層級的 AWS 服務和資源存取權,或是一般工作職能的權限。如需這些原則的相關資訊,請參閱工作職能的AWS 受管理原則

  • 您可以設定權限集的工作階段持續時間,以控制使用者登入的時間長度 AWS 帳戶。

    當使用者聯合到其 AWS 帳戶 並使用 AWS 管理主控台或 AWS 命令列介面 (AWS CLI) 時,IAM Identity Center 會使用權限集上的工作階段持續時間設定來控制工作階段的持續時間。根據預設,[工作階段持續時間] 的值會決定使用者在將使用者登出工作階段 AWS 帳戶 之前 AWS 可登入的時間長度,會設定為一小時。您可以指定 12 小時的最大值。如需詳細資訊,請參閱 設定工作階段期

  • 您也可以設定 AWS 存取入口網站工作階段持續時間,以控制員工使用者登入入口網站的時間長度。

    根據預設,工作階段持續時間上限的值 (決定員工使用者在必須重新驗證之前可登入 AWS 存取入口網站的時間長度) 為八小時。您可以指定 90 天的最大值。如需詳細資訊,請參閱 設定 AWS 存取入口網站和 IAM 身分中心整合應用程式的工作階段持續時間

  • 當您登入 AWS 存取入口網站時,請選擇提供最低權限權限的角色。

    您建立並指派給使用者的每個權限集,都會在 AWS 存取入口網站中顯示為可用角色。當您以該使用者身分登入入口網站時,請選擇與限制最嚴格的權限集合相對應的角色,而AdministratorAccess不是在帳戶中執行工作。

  • 您可以將其他使用者新增至 IAM 身分中心,並將現有或新的權限集指派給這些使用者。

    如需詳細資訊,請參閱,指派群組的 AWS 帳戶 存取權