本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 适用于 AWS Control Tower 的 IAM Identity Center 组 AWS Control Tower 提供了预配置的组以组织账户中执行特定任务的用户。您可以在 IAM Identity Center 中直接添加用户并将其分配给这些组。这样做会将权限集与账户中的组用户进行匹配。有关配置组的最新指南和最佳实践,请参阅《IAM Identity Center 用户指南》**中的[最佳实践](https://docs.aws.amazon.com//singlesignon/latest/userguide/delegated-admin.html#delegated-admin-best-practices)。 设置登录区时将创建以下组。 **AWSAccount工厂** | Account | 权限集 | 说明 | | --- | --- | --- | | 管理账户 | AWSServiceCatalogEndUserAccess | 此组在该账户中仅用于通过 Account Factory 预置新账户。 | **AWSServiceCatalogAdmins** | Account | 权限集 | 说明 | | --- | --- | --- | | 管理账户 | AWSServiceCatalogAdminFullAccess | 此组在该账户中仅用于对 Account Factory 进行管理更改。除非该群组中的用户也属于AWSAccount工厂群组,否则他们无法配置新帐户。 | **AWSControlTowerAdmins** | Account | 权限集 | 说明 | | --- | --- | --- | | 管理账户 | AWSAdministratorAccess | 该账户中此组的用户是唯一可访问 AWS Control Tower 控制台的用户。 | | 日志存档账户 | AWSAdministratorAccess | 用户拥有此账户的管理员访问权限。 | | 审计账户 | AWSAdministratorAccess | 用户拥有此账户的管理员访问权限。 | | 成员账户 | AWSOrganizationsFullAccess | 用户拥有对该账户中 Organizations 的完全访问权限。 | **AWSSecurityAuditPowerUsers** | Account | 权限集 | 说明 | | --- | --- | --- | | 管理账户 | AWSPowerUserAccess | 用户可以执行应用程序开发任务,也可以创建和配置支持有 AWS 意识的应用程序开发的资源和服务。 | | 日志存档账户 | AWSPowerUserAccess | 用户可以执行应用程序开发任务,也可以创建和配置支持有 AWS 意识的应用程序开发的资源和服务。 | | 审计账户 | AWSPowerUserAccess | 用户可以执行应用程序开发任务,也可以创建和配置支持有 AWS 意识的应用程序开发的资源和服务。 | | 成员账户 | AWSPowerUserAccess | 用户可以执行应用程序开发任务,也可以创建和配置支持有 AWS 意识的应用程序开发的资源和服务。 | **AWSSecurity审计员** | Account | 权限集 | 说明 | | --- | --- | --- | | 管理账户 | AWSReadOnlyAccess | 用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 | | 日志存档账户 | AWSReadOnlyAccess | 用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 | | 审计账户 | AWSReadOnlyAccess | 用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 | | 成员账户 | AWSReadOnlyAccess | 用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 | **AWSLogArchiveAdmins** | Account | 权限集 | 说明 | | --- | --- | --- | | 日志存档账户 | AWSAdministratorAccess | 用户拥有此账户的管理员访问权限。 | **AWSLogArchiveViewers** | Account | 权限集 | 说明 | | --- | --- | --- | | 日志存档账户 | AWSReadOnlyAccess | 用户对该账户中的所有 AWS 服务和资源具有只读访问权限。 | **AWSAuditAccountAdmins** | Account | 权限集 | 说明 | | --- | --- | --- | | 审计账户 | AWSAdministratorAccess | 用户拥有此账户的管理员访问权限。 |