- Amazon Q 教程
- Amazon Q - 首頁
- Amazon Q - 簡介
- Amazon Q 商業版使用者指南
- Amazon Q 商業版 - 工作流程
- Amazon Q 商業版 - 關鍵概念
- Amazon Q 商業版 - 訂閱層級和索引型別
- Amazon Q 商業版 - 服務配額
- Amazon Q 商業版 - 文件屬性
- Amazon Q 商業版 - 設定
- Amazon Q 商業版 - Identity Center 目錄
- Amazon Q 商業版 - Identity Center 整合應用程式
- Amazon Q 商業版 - Identity Federation 應用程式
- Amazon Q 商業版 - 資料來源聯結器
- Amazon Q 商業版 - 增強應用程式
- Amazon Q 商業版 - 功能
- Amazon Q 商業版 - 安全性
- Amazon Q 商業版 - 監控
- Amazon Q 商業版 API 參考
- Amazon Q 商業版 - API 概述
- Amazon Q 商業版 - API 參考
- Amazon Q 商業版 - 支援的操作
- Amazon Q 商業版 - 支援的資料型別
- Amazon Q 商業版 - 常用引數
- Amazon Q 商業版 - 常用錯誤
Amazon Q 商業版 - Identity Center 目錄
首次設定 IAM Identity Center 時,它預設使用自己的目錄。但如果您的組織使用不同的身份提供商(例如 Microsoft Active Directory 或 Okta),則應將其連線到 IAM Identity Center。
目標
在本教程中,您將使用 IAM Identity Center 的預設目錄來管理使用者和組。您將設定和測試使用者訪問許可權,使用者將透過 AWS 訪問門戶登入。本教程適用於 AWS 新手或已經使用 IAM 進行使用者管理的使用者。在接下來的步驟中,您將建立以下內容:
- 一個名為 *Nikki Wolf* 的管理員使用者
- 一個名為 *Admin team* 的組
- 一個名為 *AdminAccess* 的許可權集
接下來,登入併為管理員使用者設定密碼,以確保一切設定正確。之後,您可以使用此管理員使用者新增更多使用者,建立許可權並設定對 IAM Identity Center 中應用程式的訪問許可權。
使用預設 IAM Identity Center 目錄配置使用者訪問許可權的步驟
以下是使用預設 IAM Identity Center 目錄設定使用者訪問許可權的分步任務。
開始之前
首先,登入到 AWS 管理控制檯。您可以執行以下任一操作:
- **AWS 新手(根使用者)** – 選擇根使用者並輸入您的 AWS 賬戶電子郵件地址,以賬戶所有者的身份登入。在下一頁輸入您的密碼。
- **已使用 AWS(IAM 憑證)** – 使用具有管理員許可權的 IAM 憑證登入。
步驟 1:新增使用者
完成以下任務以新增使用者:
- 在 IAM Identity Center 導航窗格中,選擇“使用者”,然後選擇“新增使用者”。
- 在“指定使用者詳細資訊”頁面上,完成以下資訊:
- **使用者名稱:** 建立易於記住的使用者名稱,例如 *nikkiw*。
- **密碼:** 選擇“向此使用者傳送包含密碼設定說明的電子郵件”(推薦)。
- **電子郵件地址:** 輸入使用者的電子郵件地址,然後再次輸入以確認。請記住,每個使用者都需要一個唯一的電子郵件地址。
- **名字:** 輸入使用者的名字,例如 *Nikki*。
- **姓氏:** 輸入使用者的姓氏,例如 *Wolf*。
- **使用者名稱:** 為使用者輸入顯示名稱。預設情況下,它是他們的名字和姓氏,但您可以更改它。此名稱將在登入門戶和使用者列表中顯示。
- 如有需要,請填寫可選資訊。在本教程中未使用,您可以稍後更改。
- 選擇**下一步**。“將使用者新增到組”頁面將出現。我們將建立一個組來分配管理員許可權,而不是直接將其賦予 Nikki。選擇“建立組”,一個新的瀏覽器標籤頁將開啟以顯示“建立組”頁面。
- 在“組詳細資訊”下,在“組名稱”中輸入組的名稱。我們建議使用能夠標識組角色的組名,例如 *Admin team*。
- 選擇“建立組”。
- 關閉“組”瀏覽器標籤頁以返回到“新增使用者”瀏覽器標籤頁。
- 在“組”區域中,選擇“重新整理”按鈕。*Admin team* 組將出現在列表中。選中 *Admin team* 旁邊的複選框,然後選擇“下一步”。
- 在“檢視並新增使用者”頁面上,確認以下內容:
- 主要資訊按預期顯示
- “組”顯示已新增到您建立的組的使用者
這會從 Amazon Web Services 傳送包含設定說明的電子郵件,因此請將 no-reply@signin.aws 和 no-reply@login.awsapps.com 新增到您的已批准發件人列表中以接收它。
按照以下步驟操作:
如果您想進行更改,請單擊**編輯**。一切正確後,單擊**新增使用者**。您將看到一條訊息,說明使用者已新增。
接下來,您將為 Admin team 組新增管理員許可權,以便 Nikki 可以訪問資源。
步驟 2:新增管理員許可權
完成以下任務以新增管理員許可權:
- 在 IAM Identity Center 中,轉到導航窗格,單擊“多賬戶許可權”,然後選擇“AWS 賬戶”。
- 在“AWS 賬戶”頁面上,找到您組織的結構。選中管理賬戶旁邊的複選框,然後單擊“分配使用者或組”。
- “分配使用者和組”工作流程將顯示。它包括三個步驟:
- 對於**步驟 1:選擇使用者和組**,選擇您建立的 *Admin team* 組。然後選擇“下一步”。
- 對於**步驟 2**,單擊**“建立許可權集”**以啟動一個新的包含三個步驟的流程來建立許可權集。
- **步驟 1:選擇許可權集型別**,完成以下操作:
- 在**許可權集型別**中,選擇**預定義許可權集**。
- 在**預定義許可權集的策略**中,選擇**AdministratorAccess**。選擇**下一步**。
- 對於**步驟 2**,保留預設設定並單擊**“下一步”**。這將建立一個名為 *'AdministratorAccess'* 的許可權集,會話持續時間為 1 小時。您可以根據需要重新命名它。
- 對於**步驟 3**,檢視詳細資訊,確保它使用 *'AdministratorAccess'* 策略,然後單擊**“建立”**。系統將顯示通知,確認許可權集已建立,您可以關閉標籤頁。
- 在**步驟 3:檢視並提交分配頁面**上,檢查是否已選中 *Admin team* 組和 *AdministratorAccess*,然後單擊**建立**。
在**分配使用者和組**瀏覽器標籤頁上,您仍然處於從建立許可權集工作流程開始的**步驟 2:選擇許可權集**。
在**許可權集**區域中,選擇**重新整理**按鈕。您建立的 *AdministratorAccess* 許可權集將出現在列表中。選中該許可權集的複選框,然後選擇**下一步**。
等待配置過程完成。您將返回到“AWS 賬戶”頁面,並顯示一條通知,說明您的賬戶已更新。
恭喜!
您已成功設定您的第一個使用者、組和許可權集。
接下來,您將透過使用其管理員憑證登入到 AWS 門戶並設定其密碼來測試 *Nikki* 的訪問許可權。現在先退出控制檯。
步驟 3:測試使用者訪問許可權
現在 Nikki 是您組織中的使用者,他們可以訪問允許的資源。讓我們透過以 Nikki 的身份登入並設定其密碼來驗證這一點。打開發送給 Nikki 的包含密碼設定說明的電子郵件,然後按照步驟操作。
- 在電子郵件中,選擇“接受邀請”連結以接受邀請。
- 設定密碼後,您將轉到“登入”頁面。輸入 *'nikkiw'* 並單擊**下一步**,然後輸入密碼並單擊**登入**。
- AWS 門戶將開啟,顯示您的組織和應用程式。選擇您的組織以檢視 AWS 賬戶列表,然後選擇一個賬戶以檢視您可以用來訪問其資源的角色。
- **角色**,例如 *AdministratorAccess* - 開啟 AWS 控制檯主頁。
- **訪問金鑰** - 這些是您可以與 AWS CLI 或 SDK 一起使用的憑證。它們包括用於使用自動重新整理的短期憑證或短期訪問金鑰的資訊。
- 選擇**角色**連結以登入到 AWS 控制檯主頁。
注意
電子郵件還包括 *Nikki* 的使用者名稱以及他們將用於登入組織的 AWS 訪問門戶 URL。記錄此資訊以備將來使用。
您將轉到“新使用者註冊”頁面,您可以在其中設定 *Nikki* 的密碼。
每個許可權集都有兩種管理方法,您可以使用**角色**或**訪問金鑰**。
您現在已登入並位於 AWS 控制檯主頁。檢查控制檯以確保您擁有所需的訪問許可權。
後續步驟
現在您已在 IAM Identity Center 中建立了一個管理員使用者,您可以:
- 分配應用程式
- 新增其他使用者
- 將使用者分配到賬戶
- 配置其他許可權集
**注意** 您可以為使用者賦予多個許可權集。為確保安全,請建立一個具有有限訪問許可權的許可權集並將其分配給您的管理員使用者。這樣,您就可以僅使用所需的許可權訪問您的 AWS 賬戶。
使用者接受邀請並登入後,他們只能看到他們有權訪問的 AWS 賬戶、角色和應用程式。
**重要** 我們強烈建議您為使用者啟用多因素身份驗證 (MFA)。有關更多資訊,請參閱 Identity Center 使用者的多因素身份驗證。