本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建、管理和删除权限集 权限集定义用户和组对某一 AWS 账户帐户的访问级别。权限集存储在 IAM Identity Center 中,可以配置给一个或多个 AWS 账户。您可以为用户分配多个权限集。有关权限集以及如何在 IAM Identity Center 中使用权限集的更多信息,请参阅 [AWS 账户 使用权限集进行管理](permissionsetsconcept.md)。 **注意** 您可以在 IAM Identity Center 控制台中按名称搜索和排序权限集。 创建权限集时,请记住以下注意事项: + **组织实例** 要使用权限集,您将需要使用 IAM Identity Center 的组织实例。有关更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。 + **以预定义的权限集为起点** 使用使用预定义权限的[预定义权限](permissionsetpredefined.md)集,您可以从可用策略列表中选择单个 AWS 托管策略。每项策略都授予对 AWS 服务和资源的特定级别的访问权限或对常见工作职能的权限。有关每项策略的信息,请参阅[针对工作职能的AWS 管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。收集使用情况数据后,您可以细化权限集,使其更具有限制性。 + **将管理会话的持续时间限制在合理的工作时间段内** 当用户联合到他们 AWS 账户 并使用 AWS 管理控制台 或 AWS 命令行界面 (AWS CLI) 时,IAM Identity Center 会使用权限集上的会话持续时间设置来控制会话的持续时间。当用户会话达到会话持续时间时,他们将退出控制台,并被要求重新登录。作为最佳安全做法,我们建议您设置的会话持续时间长度不要超过执行角色所需的时间。默认情况下,**会话持续时间**的值为一个小时。可以指定的最大值为 12 小时。有关更多信息,请参阅 [将会话持续时间设置为 AWS 账户](howtosessionduration.md)。 + **限制员工用户门户的会话持续时间** 员工用户使用门户会话来选择角色和访问应用程序。默认情况下,“**最大会话持续时间**” 的值为八小时,该值决定了员工用户在必须重新进行身份验证之前可以登录 AWS 访问门户的时间长度。可以将最大值指定为 90 天。有关更多信息,请参阅 [在 IAM Identity Center 中配置会话持续时间](configure-user-session.md)。 + **使用提供最低权限的角色** 您创建并分配给用户的每个权限集在 AWS 访问门户中显示为可用角色。当您以该用户身份登录门户时,请选择与可用于在帐户中执行任务的最严格的权限集相对应的角色,而不是 `AdministratorAccess`。在发送用户邀请之前,请测试您的权限集,验证其是否提供了必要的访问权限。 **注意** 您也可以使用 [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html) 创建和分配权限集,并将这些权限集分配给用户。 **Topics** + [创建权限集](howtocreatepermissionset.md) + [查看和更改权限集](howtoviewandchangepermissionset.md) + [委派权限集管理](permissionsetdelegation.md) + [在权限集中使用 IAM 策略](howtocmp.md) + [在 IAM Identity Center 中移除权限集](howtoremovepermissionset.md) + [在 IAM Identity Center 中删除权限集](howtodeletepermissionset.md)