本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用默认 IAM Identity Center 目录配置用户访问权限
<a name="quick-start-default-idc"></a>

首次启用 IAM Identity Center 后，它会自动配置 Identity Center 目录作为您的默认身份源，因此您无需选择身份源。如果您的组织使用其他身份提供商，例如 Microsoft Active Directory、Microsoft Entra ID 或 Okta，请考虑将该身份源与 IAM Identity Center 集成，而不是使用默认配置。

**目标**

在本教程中，您将使用默认目录作为身份源和一个 IAM Identity Center 组织实例来设置和测试管理用户。该管理用户创建和管理用户和组，并通过权限集授予 AWS 访问权限。在接下来的步骤中，您将创建以下内容：
+ 名为的管理用户 *Nikki Wolf*
+ 一个名为的群组 *Admin team*
+ 名为的权限集 *AdminAccess*

要验证所有内容是否均已正确创建，您需要登录并设置管理用户的密码。完成本教程后，您可以使用此管理用户在 IAM Identity Center 中添加更多用户、创建其他权限集以及设置对应用程序的组织访问权限。或者，如果您想授予用户对应用程序的访问权限，可以遵循此过程的[步骤 1 ](#gs-qs-step1)并[配置应用程序访问](manage-your-applications.md)。

## 先决条件
<a name="prereqs-qs"></a>

需要满足以下先决条件才能完成本教程：
+ [启用 IAM Identity Center](enable-identity-center.md) 并拥有一个 [IAM Identity Center 组织实例](organization-instances-identity-center.md)。
  + 如果您拥有 IAM Identity Center [账户实例](account-instances-identity-center.md)，则可以创建用户和组，并授予他们对应用程序的访问权限。有关更多信息，请参阅[应用程序访问](manage-your-applications.md)。
+ 通过以下任一方式登录 AWS 管理控制台 并访问 IAM 身份中心控制台：
  + ** AWS （root 用户）新手 — 以**账户所有者的身份登录，方法是选择 **AWS 账户 root 用户**并输入您的 AWS 账户 电子邮件地址。在下一页上，输入您的密码。
  + **已在使用 AWS （IAM 证书）**— 使用具有管理权限的 IAM 凭证登录。
    + 有关登录的更多帮助 AWS 管理控制台，请参阅[AWS 登录 指南。](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ 您可以为 IAM Identity Center 用户配置多重身份验证。有关更多信息，请参阅 [在 IAM Identity Center 中配置 MFA](mfa-configure.md)。

## 步骤 1：添加用户
<a name="gs-qs-step1"></a>

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在 IAM Identity Center 导航窗格，选择**用户**，然后选择**添加用户**。

1. 在**指定用户详细信息**页面，填写以下信息：
   + **用户名**-对于本教程，请输入*nikkiw*。

     创建用户时，请选择易于记忆的用户名。您的用户必须记住用户名才能登录 AWS 访问门户，您以后无法对其进行更改。
   + **密码** - 选择**向该用户发送包含密码设置说明的电子邮件（推荐）**。

     此选项会向用户发送一封来自 Amazon Web Services 的电子邮件，主题行为**邀请加入 IAM Identity Center**。电子邮件发自 `no-reply@signin.aws` 或 `no-reply@login.awsapps.com`。将这些电子邮件地址添加到您允许的发件人列表中。
   + **电子邮件地址** - 输入用户电子邮件地址，您可以通过该地址接收电子邮件。然后，再次输入以确认。每个用户的电子邮件地址必须唯一。
   + **名字** - 输入用户的名字。在本教程中，请输入 *Nikki*。
   + **姓氏** - 输入用户姓氏。在本教程中，请输入 *Wolf*。
   + **显示名称** - 默认值为用户的名字和姓氏。如果要更改显示名称，可以输入不同的名称。显示名称会显示在登录门户和用户列表中。
   + 如果需要，请填写可选信息。本教程不会用到它们，您可以稍后更改。

1. 选择**下一步**。此时将出现**将用户添加到组**页面。我们将创建一个群组来分配管理权限，而不是直接授予管理权限*Nikki*。

   选择**创建组**。

   此时将打开一个新的浏览器选项卡，以显示**创建组**页面。

   1. 在**组详细信息**下的**组名称**中，输入组的名称。我们建议输入一个能表明组角色的组名称。在本教程中，请输入 *Admin team*。

   1. 选择**创建组**。

   1. 关闭**组**浏览器选项卡，返回**添加用户**浏览器选项卡

1. 在**组**区域，选择**刷新**按钮。该*Admin team*群组出现在列表中。

   选中旁边的复选框*Admin team*，然后选择 “**下一步**”。

1. 在**查看并添加用户**页面，确认以下信息：
   + 主要信息会按您的预期显示
   + “组”显示已添加到您创建的组中的用户

   如果需要进行更改，请选择**编辑**。如果所有详细信息都正确，选择**添加用户**。

   此时将显示一条通知消息，告知您用户已添加。

接下来，您将为该*Admin team*组添加管理权限*Nikki*，使其能够访问资源。

## 步骤 2：添加管理权限
<a name="gs-qs-step2"></a>
**重要**  
仅当您启用了 [IAM Identity Center 组织实例](identity-center-instances.md)时，才需执行以下步骤。

1. 在 IAM Identity Center 导航窗格的**多账户权限**下，选择 **AWS 账户**。

1. 在 **AWS 账户** 页面，**组织结构**将显示您的组织，您的账户将以分层结构列于其下方。选中管理账户对应的复选框，然后选择**分配用户或组**。

1. 此时将显示**分配用户和组**工作流程。它包括三个步骤：

   1. 对于**步骤 1：选择用户和群组**，选择您创建的*Admin team*群组。然后选择**下一步**。

   1. 对于**步骤 2：选择权限集**，选择**创建权限集**，以打开新的标签页，它将引导您完成创建权限集所涉及的三个子步骤。

      1. 对于**步骤 1：选择权限集类型**，请完成以下操作：
         + 在**权限集类型**中，选择**预定义权限集**。
         + 在**预定义权限集的策略**中，选择**AdministratorAccess**。

         选择**下一步**。

      1. 对于**步骤 2：指定权限集详细信息**，保留默认设置，并选择**下一步**。

         默认设置会创建名为*AdministratorAccess*、会话持续时间设置为一小时的权限集。在**权限集名称**字段中输入新名称，即可更改权限集的名称。

      1. 对于**步骤 3：查看并创建**，请验证**权限集类型**是否使用 AWS 托管策略**AdministratorAccess**。选择**创建**。**权限集**页面会显示通知，告知您权限集已创建。您可以在网络浏览器中关闭此标签页。

      在**分配用户和组**浏览器标签页，您仍处于**步骤 2：选择权限集**，您将在这里启动创建权限集工作流程。

      在**权限集**区域，选择**刷新**按钮。您创建的*AdministratorAccess*权限集将出现在列表中。选择该权限集的复选框，然后选择**下一步**。

   1. 在 “**步骤 3：查看并提交作业**” 页面上，确认已选择*Admin team*群组并选择*AdministratorAccess*权限集，然后选择**提交**。

      页面更新时会显示一条消息，告知您 AWS 账户 正在配置中。等待该过程完成。

      您将返回到该 AWS 账户 页面。系统会显示一条通知消息，告知您 AWS 账户 已重新配置并应用了更新的权限集。

**恭喜您！**  
您已成功设置第一个用户、组和权限集。

在本教程的下一部分中，您将通过*Nikki's*使用他们的管理凭据登录 AWS 访问门户并设置密码来测试访问权限。现在，注销控制台。

## 步骤 3：测试用户访问权限
<a name="gs-qs-step3"></a>

现在，*Nikki Wolf*这是您组织中的用户，他们可以登录并访问根据其权限集获得权限的资源。要验证用户的配置是否正确，在下一步中，您将使用*Nikki's*凭据登录并设置他们的密码。*Nikki Wolf*在步骤 1 中添加用户时，您选择*Nikki*接收一封包含密码设置说明的电子邮件。现在，您可以打开该电子邮件，并执行以下操作：

1. 在电子邮件中，选择**接受邀请**链接，以接受邀请。
**注意**  
该电子邮件还包括*Nikki's*用户名和他们将用于登录组织的 AWS 访问门户 URL。记录这些信息，以供将来使用。

   您将进入**新用户注册**页面，您可以在其中设置*Nikki's*密码并[注册他们的 MFA 设备](enable-mfa.md)。

1. 设置*Nikki's*密码后，您将导航到 “**登录**” 页面。输入*nikkiw*并选择 “**下一步**”，然后输入*Nikki's*密码并选择 “**登录**”。

1.  AWS 访问门户打开，显示您可以访问的组织和应用程序。

   选择组织将其展开为列表， AWS 账户 然后选择该帐户以显示可用于访问该账户中资源的角色。

    每个权限集都有两种管理方法可供使用，即**角色**和**访问密钥**。
   + 例如，**角色** *AdministratorAccess*-打开 AWS Console Home。
   + **访问密钥**-提供可用于 AWS CLI 或和 AWS SDK 的凭据。包含会自动刷新的短期凭证或短期访问密钥的使用信息。有关更多信息，请参阅 [获取 AWS CLI 或的 IAM Identity Center 用户证书 AWS SDKs](howtogetcredentials.md)。

1. 选择**角色**链接登录 AWS Console Home。

 您已登录并导航到该 AWS Console Home 页面。浏览控制台，并确认您拥有预期的访问权限。

## 后续步骤
<a name="gs-qs-next-steps"></a>

现在，您已经在 IAM Identity Center 创建了管理用户，您可以：
+ [分配应用程序](manage-your-applications.md)
+ [添加其他用户](addusers.md)
+ [将用户分配到账户](assignusers.md)
+ [配置其他权限集](howtocreatepermissionset.md)
**注意**  
您可以将多个权限集分配给同一个用户。要遵循应用最低权限的最佳实践，请在创建管理用户后，创建一个限制性更强的权限集并将其分配给同一个用户。这样，您就可以仅 AWS 账户 使用所需的权限访问您的，而不是管理权限。

在您的用户[接受激活账户的邀请](howtoactivateaccount.md)并登录 AWS 访问门户后，门户中显示的项目仅限于分配给他们的 AWS 账户、角色和应用程序。