

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Control Tower 的 IAM Identity Center 群組
<a name="sso-groups"></a>

AWS Control Tower 提供預先設定的群組，以組織在帳戶中執行特定任務的使用者。您可以直接在 IAM Identity Center 中新增使用者並將其指派給這些群組。執行此作業會將許可集與您帳戶內群組中的使用者進行比對。如需設定 群組的最新指引和最佳實務，請參閱《*IAM Identity Center 使用者指南*》中的[最佳實務](https://docs.aws.amazon.com//singlesignon/latest/userguide/delegated-admin.html#delegated-admin-best-practices)。

當您設定登陸區域時，會建立下列群組。


**AWSAccountFactory**  

| 帳戶 | 許可集 | 說明 | 
| --- | --- | --- | 
| 管理帳戶 | AWSServiceCatalogEndUserAccess | 此群組僅用於此帳戶中，以使用 Account Factory 佈建新帳戶。 | 


**AWSServiceCatalogAdmins**  

| 帳戶 | 許可集 | 說明 | 
| --- | --- | --- | 
| 管理帳戶 | AWSServiceCatalogAdminFullAccess | 此群組僅用於此帳戶，以對帳戶工廠進行管理變更。除非同時位於 AWSAccountFactory 群組中，否則此群組中的使用者無法佈建新帳戶。 | 


**AWSControlTowerAdmins**  

| 帳戶 | 許可集 | 說明 | 
| --- | --- | --- | 
| 管理帳戶 | AWSAdministratorAccess | 此帳戶中此群組的使用者是唯一可存取 AWS Control Tower 主控台的使用者。 | 
| 日誌封存帳戶 | AWSAdministratorAccess | 此帳戶中的使用者將具備管理存取權限。 | 
| 稽核帳戶 | AWSAdministratorAccess | 此帳戶中的使用者將具備管理存取權限。 | 
| 成員帳戶 | AWSOrganizationsFullAccess | 使用者可完整存取此帳戶中的 Organizations。 | 


**AWSSecurityAuditPowerUsers**  

| 帳戶 | 許可集 | 說明 | 
| --- | --- | --- | 
| 管理帳戶 | AWSPowerUserAccess | 使用者可以執行應用程式開發任務，並建立和設定支援 AWS 感知應用程式開發的資源和服務。 | 
| 日誌封存帳戶 | AWSPowerUserAccess | 使用者可以執行應用程式開發任務，並建立和設定支援 AWS 感知應用程式開發的資源和服務。 | 
| 稽核帳戶 | AWSPowerUserAccess | 使用者可以執行應用程式開發任務，並建立和設定支援 AWS 感知應用程式開發的資源和服務。 | 
| 成員帳戶 | AWSPowerUserAccess | 使用者可以執行應用程式開發任務，並建立和設定支援 AWS 感知應用程式開發的資源和服務。 | 


**AWSSecurityAuditors**  

| 帳戶 | 許可集 | 說明 | 
| --- | --- | --- | 
| 管理帳戶 | AWSReadOnlyAccess | 使用者可唯讀存取此帳戶中的所有 AWS 服務和資源。 | 
| 日誌封存帳戶 | AWSReadOnlyAccess | 使用者可唯讀存取此帳戶中的所有 AWS 服務和資源。 | 
| 稽核帳戶 | AWSReadOnlyAccess | 使用者可唯讀存取此帳戶中的所有 AWS 服務和資源。 | 
| 成員帳戶 | AWSReadOnlyAccess | 使用者可唯讀存取此帳戶中的所有 AWS 服務和資源。 | 


**AWSLogArchiveAdmins**  

| 帳戶 | 許可集 | 說明 | 
| --- | --- | --- | 
| 日誌封存帳戶 | AWSAdministratorAccess | 此帳戶中的使用者將具備管理存取權限。 | 


**AWSLogArchiveViewers**  

| 帳戶 | 許可集 | 說明 | 
| --- | --- | --- | 
| 日誌封存帳戶 | AWSReadOnlyAccess | 使用者可唯讀存取此帳戶中的所有 AWS 服務和資源。 | 


**AWSAuditAccountAdmins**  

| 帳戶 | 許可集 | 說明 | 
| --- | --- | --- | 
| 稽核帳戶 | AWSAdministratorAccess | 此帳戶中的使用者將具備管理存取權限。 |