本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立、管理及刪除權限集
權限集定義使用者和群組對的存取層級 AWS 帳戶。權限集會儲存在 IAM 身分中心,並且可以佈建至一或多個 AWS 帳戶。您可以為使用者指派多個許可集合。如需有關權限集及其在 IAM 身分中心使用方式的詳細資訊,請參閱許可集。
建立權限集時,請記住下列考量事項:
-
從預先定義的權限集開始
使用預先定義的權限集 (使用預先定義的權限),您可以從可用原則清單中選擇單一 AWS 受管理的原則。每個原則都會授與特定層級的 AWS 服務和資源存取權,或是一般工作職能的權限。如需這些原則的相關資訊,請參閱工作職能的AWS 受管理原則。收集使用情況資料後,您可以將權限集精簡為更具限制性。
-
將管理會話持續時間限制在合理的工作
當使用者聯合到其 AWS 帳戶 並使用 AWS 管理主控台或 AWS 命令列介面 (AWS CLI) 時,IAM Identity Center 會使用權限集上的工作階段持續時間設定來控制工作階段的持續時間。當使用者工作階段達到工作階段持續時間時,就會登出主控台並要求重新登入。作為安全性最佳作法,建議您不要將工作階段持續時間長度設定超過執行角色所需的長度。依預設,工作階段持續時間的值為一小時。您可以指定 12 小時的最大值。如需詳細資訊,請參閱 設定工作階段期。
-
限制工作人員使用者入口網站
員工使用者使用入口網站工作階段來選擇角色並存取應用 根據預設,工作階段持續時間上限的值 (決定員工使用者在必須重新驗證之前可登入 AWS 存取入口網站的時間長度) 為八小時。您可以指定 90 天的最大值。如需詳細資訊,請參閱 設定 AWS 存取入口網站和 IAM 身分中心整合應用程式的工作階段持續時間。
-
使用提供最低權限權限的角色
您建立並指派給使用者的每個權限集,都會在 AWS 存取入口網站中顯示為可用角色。當您以該使用者身分登入入口網站時,請選擇與限制最嚴格的權限集合相對應的角色,而
AdministratorAccess不是在帳戶中執行工作。在傳送使用者邀請之前,測試您的權限集,以確認其提供必要的存取權。
注意
您也可以使用AWS CloudFormation來建立和指派權限集,以及將使用者指派給這些權限集。
