设置 AWS IAM Identity Center （IAM 身份中心）

设置 IAM Identity Center

1. 打开 AWS Organizations 控制台并创建一个组织（如果还没有）。默认情况下，该组织的所有功能均处于启用状态。

   有关更多信息，请参阅 AWS IAM Identity Center 先决条件和创建和管理组织。

2. 打开 AWS IAM Identity Center 控制台

3. 选择身份源。

   默认情况下，您将获得一个 IAM Identity Center 存储，以便快速轻松地管理用户。（可选）您可以转而连接外部身份提供者，或者使用本地 Active Directory 连接 AWS Managed Microsoft AD 目录。在本指南中，我们使用默认的 IAM Identity Center 存储。

   有关更多信息，请参阅《AWS IAM Identity Center 用户指南》中的选择身份源。

4. 创建 DataBrew 访问权限集：

   1. 在 IAM Identity Center 导航窗格中，选择 AWS 账户，然后选择权限集。

   2. 在创建权限集页面上，选择创建自定义权限集合。

   3. 对于中继状态，输入 https://console.aws.amazon.com/databrew/home?region=us-east-1#landing。

      输入此字段后，您的用户就可以直接转到 DataBrew。

   4. 选择附加 AWS 托管策略 DataBrew，搜索并选择AwsGlueDataBrewFullAccessPolicy。选择此选项可为您的用户提供他们所需的所有权限 DataBrew。可以在为控制台用户添加 IAM 策略中找到更多详细信息。

   5. （可选）选择创建自定义权限策略，然后为您的用户自定义权限。

5. 在 IAM Identity Center 导航窗格中，选择组，然后选择创建组。输入组名称并选择创建。

6. 向 IAM Identity Center 存储添加用户：

   1. 在 IAM Identity Center 导航窗格中，选择用户。

   2. 在添加用户页面上，输入所需信息，然后选择向用户发送包含密码设置说明的电子邮件。用户将收到一封包含后续设置步骤的电子邮件。

   3. 选择下一步：组，再选择所需的组，然后选择添加用户。

      用户将收到一封邀请他们使用 SSO 的电子邮件。在这封电子邮件中，他们需要选择接受邀请并设置密码。他们还可以在电子邮件中找到门户 URL。他们可以使用此 URL 进行访问 DataBrew。

7. 为每个用户分配一个账户：

   1. 在 IAM Identity Center 控制台中，在导航窗格中选择 AWS 账户。

   2. 选择AWS 组织并选择一个 AWS 帐户。

   3. 在分配用户屏幕上，选择组选项卡，然后选择所需的组。

   4. 选择 Next: Permissions sets (下一步：权限集)。

   5. 选择的权限集 DataBrew，然后选择 “完成”。