本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 委派谁可以为管理账号中的用户和组分配单点登录访问权限 使用 IAM Identity Center 控制台为主帐户分配单点登录访问管理帐户的权限。默认情况下,只有附加 AWS 账户根用户 了**AWSSSOMasterAccountAdministrator**和**IAMFullAccess** AWS 托管策略的用户才能向管理账户分配单点登录访问权限。**AWSSSOMasterAccountAdministrator**和**IAMFullAccess**策略管理对 AWS Organizations 组织内管理账户的单点登录访问权限。 或者,您可以使用 AWS CLI 创建权限集、将策略附加到权限集和分配权限集。以下列出了每个步骤对应的命令: + 要创建权限集,请执行以下操作:[create-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-permission-set.html) + 要附加 AWS Managed Policy到权限集:[attach-managed-policy-to-permission-](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-managed-policy-to-permission-set.html) set + 要将客户托管策略附加到权限集,请执行以下操作:[attach-customer-managed-policy-to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-customer-managed-policy-reference-to-permission-set.html) + 要将权限集分配给委托人,请执行以下操作:[create-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-account-assignment.html) 使用以下步骤委派权限来管理您的目录中用户和组的单点登录访问权限。 **授予权限来管理您的目录中的用户和组的单点登录访问权限** 1. 以管理帐户的根用户身份或具有管理员权限的另一个管理用户的身份登录到 IAM Identity Center 控制台。 1. 按照 [创建权限集](howtocreatepermissionset.md) 中的步骤创建权限集,然后执行以下操作: 1. 在**创建新权限集**页面上,选中**创建自定义权限集**复选框,然后选择**下一步:详细信息**。 1. 在**“创建新权限集”页面**上,指定自定义权限集的名称和描述(可选)。如有需要,可以修改会话持续时间并指定中继状态 URL。 **注意** 对于中继状态 URL,必须指定位于 AWS 管理控制台中的 URL 。例如: **https://console.aws.amazon.com/ec2/** 有关更多信息,请参阅 [设置中继状态以便快速访问 AWS 管理控制台](howtopermrelaystate.md)。 1. 在**您要在权限集中包含哪些策略?**下,选中**附加 AWS 管理型策略**复选框。 1. 在 IAM 策略列表中,选择**AWSSSOMasterAccountAdministrator**和**IAMFullAccess** AWS 托管策略。这些策略向以后将拥有此权限集的访问权限的任何用户和组授予权限。 1. 选择**下一步:标签**。 1. 在**添加标签(可选)**下,指定**密钥**和**值(可选)**的值,然后选择**下一步:查看**。有关标签的更多信息,请参阅[为资源添加标签 AWS IAM Identity Center](tagging.md)。 1. 检查您的选择,然后选择**创建**。 1. 按照 [为用户或群组分配访问权限 AWS 账户](assignusers.md) 中的步骤将相应的用户和组分配给您刚刚创建的权限集。 1. 向已分配的用户传送以下信息:当已分配的用户登录 AWS 访问门户并选择**账户**选项卡时,必须选择适当的角色名以使用刚委派的权限进行身份验证。