本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 账户 使用权限集管理
权限集是您创建和维护的模板,用于定义一个或多个 IAM 策略的集合。权限集简化了向贵组织中用户和组分配 AWS 账户 访问权限的流程。例如,您可以创建一个数据库管理员权限集,其中包括用于管理 AWS RDS、DynamoDB 和 Aurora 服务的策略,并使用该单个权限集向数据库管理员授予对组织内 AWS 账户AWS 目标列表的访问权限。
IAM Identity Center 使用权限集为一个或多 AWS 账户 个中的用户或组分配访问权限。当您分配权限集时,IAM Identity Center 会在每个帐户中创建 IAM Identity Center 控制的相应 IAM 角色,并将权限集中指定的策略附加到这些角色。IAM Identity Center 通过使用 IAM Identity Center 用户门户或 AWS CLI 管理该角色,并允许您定义的授权用户代入该角色。 在您修改权限集时,IAM Identity Center 会确保相应的 IAM 策略和角色也相应更新。
您可以将 AWS 管理型策略、客户管理型策略、内联策略和适用于工作职能的AWS 管理型策略添加到您的权限集中。您也可以指定 AWS 管理型策略或客户管理型策略作为权限边界。
要创建权限集,请参阅创建、管理和删除权限集。
创建应用最低权限的权限集
要遵循应用最低权限的最佳实践,请在创建管理权限集之后,创建一个限制性更强的权限集并将其分配给一个或多个用户。在之前过程中创建的权限集将提供一个起点,让您评估为用户访问所需的资源分配多少访问权限。要切换到最低权限,您可以运行 IAM Accccess Analyzer,以使用 AWS 托管策略监控主体。了解他们使用的权限后,您可以编写自定义策略或生成仅包含团队所需权限的策略。
借助 IAM Identity Center,您可以为同一个用户分配多个权限集。您还应该为管理用户分配其他限制性更强的权限集。这样,他们就可以仅 AWS 账户 使用所需的权限访问您的,而不是始终使用管理权限。
例如,如果您是一名开发人员,在 IAM Identity Center 中创建管理用户后,您可以创建一个授予 PowerUserAccess 权限的新权限集,然后将该权限集分配给您自己。不同于使用 AdministratorAccess 权限的管理权限集,PowerUserAccess 权限集不允许管理 IAM 用户和组。登录 AWS 访问门户访问您的 AWS 帐户时,您可以选择PowerUserAccess而不是在AdministratorAccess帐户中执行开发任务。
请注意以下事项:
-
要快速开始创建限制性更强的权限集,请使用预定义的权限集而不是自定义权限集。
借助使用预定义权限的预定义权限集,您可以从可用策略列表中选择单个 AWS 管理型策略。每项策略都授予对 AWS 服务和资源的特定级别的访问权限或针对常见工作职能的权限。有关每项策略的信息,请参阅针对工作职能的AWS 管理型策略。
-
您可以为权限集配置会话持续时间,以控制用户登录 AWS 账户的时间长度。
当用户联合到他们的 AWS 账户 并使用 AWS 管理控制台或 AWS 命令行界面 (AWS CLI) 时,IAM Identity Center 会使用权限集上的会话持续时间设置来控制会话持续时间。默认情况下,会话持续时间的值设置为一小时,该值决定了将用户退出会话 AWS 账户 之前 AWS 用户可以登录的时长。可以指定的最大值为 12 小时。有关更多信息,请参阅 设置 AWS 账户的会话持续时间。
-
您还可以配置 AWS 访问门户会话持续时间,以控制员工用户登录门户的时长。
默认情况下,最长会话持续时间的值为八小时,该值决定了员工用户在必须重新进行身份验证之前可以登录 AWS 访问门户的时长。可以将最大值指定为 90 天。有关更多信息,请参阅 配置 AWS 访问门户和 IAM Identity Center 集成应用程序的会话持续时间。
-
登录 AWS 访问门户时,选择提供最低权限的角色。
您创建并分配给用户的每个权限集在 AWS 访问门户中都会显示为可用角色。当您以该用户身份登录门户时,请选择与可用于在帐户中执行任务的最严格的权限集相对应的角色,而不是
AdministratorAccess。 -
您可以将其他用户添加到 IAM Identity Center,并为这些用户分配现有或新的权限集。
有关信息,请参阅向用户或组分配权限以访问 AWS 账户。
