- Amazon Q 教程
- Amazon Q - 首页
- Amazon Q - 简介
- Amazon Q 商业版用户指南
- Amazon Q 商业版 - 工作流程
- Amazon Q 商业版 - 关键概念
- Amazon Q 商业版 - 订阅层级和索引类型
- Amazon Q 商业版 - 服务配额
- Amazon Q 商业版 - 文档属性
- Amazon Q 商业版 - 设置
- Amazon Q 商业版 - Identity Center 目录
- Amazon Q 商业版 - Identity Center 集成应用程序
- Amazon Q 商业版 - Identity Federation 应用程序
- Amazon Q 商业版 - 数据源连接器
- Amazon Q 商业版 - 增强应用程序
- Amazon Q 商业版 - 功能
- Amazon Q 商业版 - 安全性
- Amazon Q 商业版 - 监控
- Amazon Q 商业版 API 参考
- Amazon Q 商业版 - API 概述
- Amazon Q 商业版 - API 参考
- Amazon Q 商业版 - 支持的操作
- Amazon Q 商业版 - 支持的数据类型
- Amazon Q 商业版 - 常用参数
- Amazon Q 商业版 - 常用错误
Amazon Q 商业版 - Identity Center 目录
首次设置 IAM Identity Center 时,它默认使用自己的目录。但如果您的组织使用不同的身份提供商(例如 Microsoft Active Directory 或 Okta),则应将其连接到 IAM Identity Center。
目标
在本教程中,您将使用 IAM Identity Center 的默认目录来管理用户和组。您将设置和测试用户访问权限,用户将通过 AWS 访问门户登录。本教程适用于 AWS 新手或已经使用 IAM 进行用户管理的用户。在接下来的步骤中,您将创建以下内容:
- 一个名为 *Nikki Wolf* 的管理员用户
- 一个名为 *Admin team* 的组
- 一个名为 *AdminAccess* 的权限集
接下来,登录并为管理员用户设置密码,以确保一切设置正确。之后,您可以使用此管理员用户添加更多用户,创建权限并设置对 IAM Identity Center 中应用程序的访问权限。
使用默认 IAM Identity Center 目录配置用户访问权限的步骤
以下是使用默认 IAM Identity Center 目录设置用户访问权限的分步任务。
开始之前
首先,登录到 AWS 管理控制台。您可以执行以下任一操作:
- **AWS 新手(根用户)** – 选择根用户并输入您的 AWS 账户电子邮件地址,以账户所有者的身份登录。在下一页输入您的密码。
- **已使用 AWS(IAM 凭证)** – 使用具有管理员权限的 IAM 凭证登录。
步骤 1:添加用户
完成以下任务以添加用户:
- 在 IAM Identity Center 导航窗格中,选择“用户”,然后选择“添加用户”。
- 在“指定用户详细信息”页面上,完成以下信息:
- **用户名:** 创建易于记住的用户名,例如 *nikkiw*。
- **密码:** 选择“向此用户发送包含密码设置说明的电子邮件”(推荐)。
- **电子邮件地址:** 输入用户的电子邮件地址,然后再次输入以确认。请记住,每个用户都需要一个唯一的电子邮件地址。
- **名字:** 输入用户的名字,例如 *Nikki*。
- **姓氏:** 输入用户的姓氏,例如 *Wolf*。
- **用户名:** 为用户输入显示名称。默认情况下,它是他们的名字和姓氏,但您可以更改它。此名称将在登录门户和用户列表中显示。
- 如有需要,请填写可选信息。在本教程中未使用,您可以稍后更改。
- 选择**下一步**。“将用户添加到组”页面将出现。我们将创建一个组来分配管理员权限,而不是直接将其赋予 Nikki。选择“创建组”,一个新的浏览器标签页将打开以显示“创建组”页面。
- 在“组详细信息”下,在“组名称”中输入组的名称。我们建议使用能够标识组角色的组名,例如 *Admin team*。
- 选择“创建组”。
- 关闭“组”浏览器标签页以返回到“添加用户”浏览器标签页。
- 在“组”区域中,选择“刷新”按钮。*Admin team* 组将出现在列表中。选中 *Admin team* 旁边的复选框,然后选择“下一步”。
- 在“查看并添加用户”页面上,确认以下内容:
- 主要信息按预期显示
- “组”显示已添加到您创建的组的用户
这会从 Amazon Web Services 发送包含设置说明的电子邮件,因此请将 [email protected] 和 [email protected] 添加到您的已批准发件人列表中以接收它。
按照以下步骤操作:
如果您想进行更改,请单击**编辑**。一切正确后,单击**添加用户**。您将看到一条消息,说明用户已添加。
接下来,您将为 Admin team 组添加管理员权限,以便 Nikki 可以访问资源。
步骤 2:添加管理员权限
完成以下任务以添加管理员权限:
- 在 IAM Identity Center 中,转到导航窗格,单击“多账户权限”,然后选择“AWS 账户”。
- 在“AWS 账户”页面上,找到您组织的结构。选中管理账户旁边的复选框,然后单击“分配用户或组”。
- “分配用户和组”工作流程将显示。它包括三个步骤:
- 对于**步骤 1:选择用户和组**,选择您创建的 *Admin team* 组。然后选择“下一步”。
- 对于**步骤 2**,单击**“创建权限集”**以启动一个新的包含三个步骤的流程来创建权限集。
- **步骤 1:选择权限集类型**,完成以下操作:
- 在**权限集类型**中,选择**预定义权限集**。
- 在**预定义权限集的策略**中,选择**AdministratorAccess**。选择**下一步**。
- 对于**步骤 2**,保留默认设置并单击**“下一步”**。这将创建一个名为 *'AdministratorAccess'* 的权限集,会话持续时间为 1 小时。您可以根据需要重命名它。
- 对于**步骤 3**,查看详细信息,确保它使用 *'AdministratorAccess'* 策略,然后单击**“创建”**。系统将显示通知,确认权限集已创建,您可以关闭标签页。
- 在**步骤 3:查看并提交分配页面**上,检查是否已选中 *Admin team* 组和 *AdministratorAccess*,然后单击**创建**。
在**分配用户和组**浏览器标签页上,您仍然处于从创建权限集工作流程开始的**步骤 2:选择权限集**。
在**权限集**区域中,选择**刷新**按钮。您创建的 *AdministratorAccess* 权限集将出现在列表中。选中该权限集的复选框,然后选择**下一步**。
等待配置过程完成。您将返回到“AWS 账户”页面,并显示一条通知,说明您的账户已更新。
恭喜!
您已成功设置您的第一个用户、组和权限集。
接下来,您将通过使用其管理员凭证登录到 AWS 门户并设置其密码来测试 *Nikki* 的访问权限。现在先退出控制台。
步骤 3:测试用户访问权限
现在 Nikki 是您组织中的用户,他们可以访问允许的资源。让我们通过以 Nikki 的身份登录并设置其密码来验证这一点。打开发送给 Nikki 的包含密码设置说明的电子邮件,然后按照步骤操作。
- 在电子邮件中,选择“接受邀请”链接以接受邀请。
- 设置密码后,您将转到“登录”页面。输入 *'nikkiw'* 并单击**下一步**,然后输入密码并单击**登录**。
- AWS 门户将打开,显示您的组织和应用程序。选择您的组织以查看 AWS 账户列表,然后选择一个账户以查看您可以用来访问其资源的角色。
- **角色**,例如 *AdministratorAccess* - 打开 AWS 控制台主页。
- **访问密钥** - 这些是您可以与 AWS CLI 或 SDK 一起使用的凭证。它们包括用于使用自动刷新的短期凭证或短期访问密钥的信息。
- 选择**角色**链接以登录到 AWS 控制台主页。
注意
电子邮件还包括 *Nikki* 的用户名以及他们将用于登录组织的 AWS 访问门户 URL。记录此信息以备将来使用。
您将转到“新用户注册”页面,您可以在其中设置 *Nikki* 的密码。
每个权限集都有两种管理方法,您可以使用**角色**或**访问密钥**。
您现在已登录并位于 AWS 控制台主页。检查控制台以确保您拥有所需的访问权限。
后续步骤
现在您已在 IAM Identity Center 中创建了一个管理员用户,您可以:
- 分配应用程序
- 添加其他用户
- 将用户分配到账户
- 配置其他权限集
**注意** 您可以为用户赋予多个权限集。为确保安全,请创建一个具有有限访问权限的权限集并将其分配给您的管理员用户。这样,您就可以仅使用所需的权限访问您的 AWS 账户。
用户接受邀请并登录后,他们只能看到他们有权访问的 AWS 账户、角色和应用程序。
**重要** 我们强烈建议您为用户启用多因素身份验证 (MFA)。有关更多信息,请参阅 Identity Center 用户的多因素身份验证。