Amazon Q Business - 身份中心目录
首次设置 IAM 身份中心时,它默认使用自己的目录。但如果您的组织使用其他身份提供商(如 Microsoft Active Directory 或 Okta),则应将其连接到 IAM 身份中心。
目标
在本教程中,您将使用 IAM 身份中心的默认目录来管理用户和组。您将设置和测试用户访问权限,用户将通过 AWS 访问门户登录。本教程适用于 AWS 新手或已使用 IAM 进行用户管理的用户。在接下来的步骤中,您将创建以下内容:
- 名为 Nikki Wolf 的管理用户
- 名为 Admin team 的组
- 名为 AdminAccess 的权限集
接下来,登录并为管理员用户设置密码,以确保一切设置正确。之后,您可以使用此管理员用户添加更多用户、创建权限以及设置对 IAM Identity Center 中应用程序的访问权限。
使用默认 IAM Identity Center 目录配置用户访问权限的步骤
下面提到的是使用默认 IAM Identity Center 目录设置用户访问权限的分步任务。
开始之前
首先,登录 AWS 管理控制台。您可以执行以下任一操作:
- AWS 新手(根用户) – 选择根用户并输入您的 AWS 账户电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。
- 已使用 AWS(IAM 凭证) – 使用具有管理权限的 IAM 凭证登录。
步骤 1:添加用户
完成以下任务以添加用户:
- 在 IAM Identity Center 导航窗格中,选择"用户",然后选择"添加用户"。
- 在"指定用户详细信息"页面上,填写以下信息:
- 用户名:创建容易记住的用户名,例如 nikkiw。
- 密码:选择"向此用户发送电子邮件,其中包含密码设置说明(推荐)"。
- 电子邮件地址:输入用户的电子邮件地址,然后再次输入确认。请记住,每个用户都需要一个唯一的电子邮件地址。
- 名字:输入用户的名字,如 Nikki。
- 姓氏:输入用户的姓氏,如 Wolf。
- 用户名:输入用户的显示名称。默认情况下,这是他们的名字和姓氏,但您可以更改它。此名称将显示在登录门户和用户列表中。
- 如果需要,请填写可选信息。本教程中不会使用它,您可以稍后更改它。
- 选择下一步。出现"将用户添加到组"页面。我们将创建一个组来分配管理权限,而不是直接将其授予 Nikki。选择"创建组",然后打开一个新的浏览器选项卡以显示"创建组"页面。
- 在"组详细信息"下的"组名称"中输入组的名称。我们建议使用可识别组角色的组名称,例如管理团队。
- 选择"创建组"。
- 关闭"组"浏览器选项卡以返回"添加用户"浏览器选项卡
- 在"组"区域中,选择"刷新"按钮。列表中将显示管理团队组。选中管理团队旁边的复选框,然后选择下一步。
- 在"查看和添加用户"页面上,确认以下内容:
- 主要信息按预期显示
- 组显示添加到您创建的组的用户
这将从 Amazon Web Services 发送一封包含设置说明的电子邮件,因此添加 no-reply@signin.aws 和no-reply@login.awsapps.com 添加到您的批准发件人列表以接收它。
请按照以下步骤操作:
如果您要进行更改,请单击编辑。当所有信息均正确无误时,请单击添加用户。您将看到一条消息,提示用户已添加。
接下来,您将为管理团队组添加管理权限,以便 Nikki 可以访问资源。
步骤 2:添加管理权限
完成以下任务以添加管理权限:
- 在 IAM 身份中心,转到导航窗格,单击"多账户权限",然后选择"AWS 账户"。
- 在 AWS 账户页面上,找到您组织的结构。选中管理账户旁边的复选框,然后单击"分配用户或组"。
- 显示分配用户和组工作流程。它包含三个步骤: <
- 对于步骤 1:选择用户和组,选择您创建的管理团队组。然后选择下一步。
- 对于步骤 2,单击"创建权限集"以启动包含 3 个步骤的新流程来创建权限集。
- 对于步骤 1:选择权限集类型,请完成以下操作:
- 在权限集类型中,选择预定义权限集。
- 在预定义权限集的策略中,选择AdministratorAccess。选择下一步。
- 对于步骤 2,保留默认设置并单击"下一步"。这将创建一个名为"AdministratorAccess"的权限集,会话持续时间为 1 小时。您可以根据需要重命名它。
- 对于步骤 3,查看详细信息,确保它使用"AdministratorAccess"策略,然后单击"创建"。通知将确认权限集已创建,您可以关闭该选项卡。
- 在第 3 步:查看并提交任务页面上,检查是否已选中管理团队组和AdministratorAccess,然后单击创建。
在分配用户和组浏览器选项卡上,您仍然处于步骤 2:选择权限集,您从中启动了创建权限集工作流。
在权限集区域中,选择刷新按钮。您创建的AdministratorAccess权限集将显示在列表中。选中该权限集的复选框,然后选择下一步。
<等待配置过程完成。您将返回 AWS 帐户页面,并收到帐户已更新的通知。
恭喜!
您已成功设置第一个用户、组和权限集。
接下来,您将使用管理员凭据登录 AWS 门户并设置密码来测试 Nikki 的访问权限。现在退出控制台。
步骤 3:测试用户访问权限
现在 Nikki 是您组织中的用户,他们可以访问允许的资源。让我们通过以 Nikki 身份登录并设置密码来验证这一点。打开发送给 Nikki 的包含密码设置说明的电子邮件并按照步骤操作。
- 在电子邮件中,选择"接受邀请"链接以接受邀请。
- 设置密码后,您将进入登录页面。输入 'nikkiw' 并单击 下一步,然后输入密码并单击 登录。
- AWS 门户打开,显示您的组织和应用程序。选择您的组织以查看 AWS 账户列表,然后选择一个账户以查看可用于访问其资源的角色。 <
- 角色,例如 AdministratorAccess - 打开 AWS 控制台主页。
- 访问密钥 - 这些是您可以与 AWS CLI 或 SDK 一起使用的凭证。它们包括使用自动刷新的短期凭证或短期访问密钥的信息
- 选择角色链接登录 AWS 控制台主页。
注意
该电子邮件还包括 Nikki 的用户名和他们将用于登录组织的 AWS 访问门户 URL。记录此信息以备将来使用。
您将进入新用户注册页面,您可以在此设置 Nikki 的密码。
每个权限集都有两种管理方法可供使用,即角色或访问密钥。
<您现在已登录并位于 AWS 控制台主页上。检查控制台以确保您拥有所需的访问权限。
后续步骤
现在您已在 IAM Identity Center 中创建了管理用户,您可以:
- 分配应用程序
- 添加其他用户
- 将用户分配给账户
- 配置其他权限集
注意您可以为用户提供多个权限集。为了确保安全,请创建具有有限访问权限的权限集并将其分配给您的管理员用户。这样,您便可以仅使用所需的权限访问您的 AWS 账户。
用户接受邀请并登录后,他们只会看到他们有权访问的 AWS 账户、角色和应用程序。
重要我们强烈建议您为用户启用多重身份验证 (MFA)。有关更多信息,请参阅身份中心用户的多重身份验证。
