本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在截止日期雲端中管理使用者
AWS Cloud 使用 AWS IAM Identity Center 來管理使用者和群組的截止日期。IAM Identity Center 是一種雲端型單一登入服務,可與企業單一登入 (SSO) 供應商整合。透過整合,使用者可以使用其公司帳戶登入。
截止日期雲端預設會啟用 IAM Identity Center,而且需要設定和使用截止日期雲端。您的組織擁有者 AWS Organizations 負責管理可存取您截止日期雲端監視器的使用者和群組。如需詳細資訊,請參閱[什麼是 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 。
如何管理使用者取決於您的 IAM Identity Center 身分來源組態。身分來源定義 IAM Identity Center 取得使用者資訊的位置。
**Topics**
+ [了解您的身分來源](understanding-identity-source.md)
+ [使用 建立和管理使用者 IAM Identity Center 目錄](manage-monitor-users_users.md)
+ [使用外部身分提供者管理使用者](manage-users-external-idp.md)
+ [了解存取層級](manage-users-by-farm.md)
# 了解您的身分來源
IAM Identity Center 使用身分來源來定義使用者管理的位置。身分來源有兩種類型:
IAM Identity Center 目錄
這是預設身分來源。使用者會直接在 IAM Identity Center 中建立和管理。您可以透過截止日期雲端主控台或 IAM Identity Center 主控台建立使用者。使用者會收到加入組織的電子郵件邀請,而密碼是在 IAM Identity Center 中管理。
外部身分提供者 (IdP)
使用者來自外部系統,例如 Okta、 Microsoft Entra ID或其他 SAML 2.0 身分提供者。使用者必須先在外部系統中建立。設定外部 IdP 時,截止日期雲端主控台無法建立使用者,但您可以將許可指派給現有使用者。密碼由外部 IdP 管理。
若要檢查或變更您的身分來源組態,請參閱《IAM Identity Center 使用者指南》中的[管理您的身分來源](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)。
# 使用 建立和管理使用者 IAM Identity Center 目錄
如果您的身分來源設定為 IAM Identity Center 目錄,您可以透過截止日期雲端主控台直接建立和管理使用者和群組。在主控台中建立的使用者會收到來自 IAM Identity Center 的電子郵件邀請。接受邀請後,使用者可以存取截止日期雲端監視器。
**注意**
如果您的 IAM Identity Center 連接到外部身分提供者,則您無法透過截止日期雲端主控台建立使用者。[使用外部身分提供者管理使用者](manage-users-external-idp.md) 如需使用外部 IdP 管理使用者的相關資訊,請參閱 。
1. 登入 AWS 管理主控台 並開啟截止日期雲端[主控台](https://console.aws.amazon.com/deadlinecloud/home)。在主頁面的**入門**區段中,選擇**設定截止日期雲端**或**前往儀表板**。
1. 在左側導覽窗格中,選擇**使用者管理**。根據預設,會選取**群組**索引標籤。
根據要採取的動作,選擇**群組**索引標籤或**使用者**索引標籤。
------
#### [ Groups ]
**建立群組**
1. 選擇**建立群組**。
1. 輸入群組名稱。名稱在 IAM Identity Center 組織中的群組之間必須是唯一的。
**移除群組**
1. 選取要移除的群組。
1. 選擇**移除**。
1. 在確認對話方塊中,選擇**移除群組**。
**注意**
您要從 IAM Identity Center 移除群組。群組成員無法再登入截止日期雲端或存取陣列資源。
------
#### [ Users ]
**新增使用者**
1. 選擇**使用者**索引標籤。
1. 選擇 **Add users** (新增使用者)。
1. 輸入新使用者的名稱、電子郵件地址和使用者名稱。
1. (選用) 選擇要將新使用者新增至其中的一或多個 IAM Identity Center 群組。
1. 選擇**傳送邀請**以傳送電子郵件給新使用者,其中包含加入 IAM Identity Center 組織的指示。
**移除使用者**
1. 選取要移除的使用者。
1. 選擇**移除**。
1. 在確認對話方塊中,選擇**移除使用者**。
**注意**
您要從 IAM Identity Center 移除使用者。使用者無法再登入截止日期雲端監視器或存取陣列資源。
------
# 使用外部身分提供者管理使用者
如果您的 IAM Identity Center 連接到外部身分提供者 (IdP),例如 Okta或 Microsoft Entra ID,則必須在該外部系統中建立和管理使用者。設定外部 IdP 時,截止日期雲端主控台無法建立新使用者。
在外部 IdP 中建立使用者並同步到 IAM Identity Center 之後,您可以將許可指派給截止日期雲端資源。[了解存取層級](manage-users-by-farm.md) 如需在陣列、佇列和機群層級指派許可的相關資訊,請參閱 。
如需有關管理外部身分提供者組態的資訊,請參閱《IAM Identity Center 使用者指南》中的[管理您的身分來源](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)。
# 了解存取層級
無論您的身分來源為何,您都可以透過截止日期雲端主控台,將許可指派給陣列、佇列和機群層級的使用者和群組。您可以授予不同層級的存取許可。每個後續關卡都包含先前關卡的許可。下列清單說明從最低層級到最高層級的四個存取層級:
+ **檢視器** – 查看其可存取之陣列、佇列、機群和任務中資源的許可。檢視器無法提交或變更任務。
+ **貢獻者** – 與檢視器相同,但具有將任務提交至佇列或陣列的許可。
+ **管理員** – 與參與者相同,但有權編輯他們有權存取之佇列中的任務,並授予他們有權存取之資源的許可。
+ **擁有者** – 與管理員相同,但可以檢視和建立預算並查看用量。
如需有關自訂這些存取層級的資訊,請參閱*《截止日期雲端開發人員指南*》中的[監控角色](https://docs.aws.amazon.com/deadline-cloud/latest/developerguide/security-iam-service-roles.html#monitor-role)。
**Topics**
+ [存取層級許可矩陣](access-level-permissions-matrix.md)
+ [成員繼承](membership-inheritance.md)
+ [將許可指派給使用者和群組](assign-permissions-procedure.md)
# 存取層級許可矩陣
下表顯示使用預設 AWS 受管政策時,陣列、佇列和機群在每個存取層級可用的特定許可。管理使用者存取權目前只能透過截止日期雲端主控台使用,無法在截止日期雲端監視器中使用。如需有關自訂這些存取層級的資訊,請參閱*《截止日期雲端開發人員指南*》中的[監控角色](https://docs.aws.amazon.com/deadline-cloud/latest/developerguide/security-iam-service-roles.html#monitor-role)。
**依存取層級的陣列許可**
| 權限 | 觀眾 | 作者群 | 管理員 | Owner |
| --- | --- | --- | --- | --- |
| 檢視陣列詳細資訊 | 是 | 是 | 是 | 是 |
| 檢視佇列和機群 | 是 | 是 | 是 | 是 |
| 提交任務 | 否 | 是 | 是 | 是 |
| 管理使用者存取 | 否 | 否 | 是 | 是 |
| 檢視和建立預算 | 否 | 否 | 否 | 是 |
| 檢視用量資料 | 否 | 否 | 否 | 是 |
**依存取層級佇列許可**
| 權限 | 觀眾 | 作者群 | 管理員 | Owner |
| --- | --- | --- | --- | --- |
| 檢視佇列詳細資訊 | 是 | 是 | 是 | 是 |
| 檢視佇列中的任務 | 是 | 是 | 是 | 是 |
| 將任務提交至佇列 | 否 | 是 | 是 | 是 |
| 編輯和取消任務 | 否 | 否 | 是 | 是 |
| 管理佇列使用者存取權 | 否 | 否 | 是 | 是 |
| 檢視佇列預算分配 | 否 | 否 | 否 | 是 |
**依存取層級的機群許可**
| 權限 | 觀眾 | 作者群 | 管理員 | Owner |
| --- | --- | --- | --- | --- |
| 檢視機群詳細資訊 | 是 | 是 | 是 | 是 |
| 檢視機群中的工作者 | 是 | 是 | 是 | 是 |
| 管理機群使用者存取 | 否 | 否 | 是 | 是 |
| 檢視機群成本資料 | 否 | 否 | 否 | 是 |
# 成員繼承
Deadline Cloud 使用階層成員模式,可在陣列、佇列或機群層級指派許可。了解成員資格繼承的運作方式可協助您有效地設定存取控制。
## 陣列層級成員資格
當您在陣列層級指派使用者或群組成員資格時,該成員資格會套用至陣列中的所有佇列和機群。陣列層級成員資格提供廣泛的存取,對於需要跨多個佇列或機群工作的使用者來說非常有用。
例如,如果您在陣列層級將使用者指派為貢獻者,則該使用者可以將任務提交到陣列中的任何佇列。
## 佇列和機群層級成員資格
您也可以在佇列或機群層級指派成員資格,以獲得更精細的存取控制。佇列層級和機群層級成員資格僅適用於該特定資源。
例如,如果您將使用者指派為特定佇列的管理員,則該使用者只能編輯任務和管理該佇列的存取權,而不是陣列中的其他佇列。
使用者只能存取佇列或機群,無需擁有陣列層級成員資格。在此情況下,使用者無法在其陣列清單中看到陣列,但 可以將任務提交至 ,並僅檢視其可存取的佇列或機群。
## 有效許可
當使用者在多個層級擁有成員資格時,截止日期雲端會使用最高的存取層級。例如:
+ 在陣列層級具有檢視器存取權的使用者,以及在特定佇列具有管理員存取權的使用者,具有該佇列的管理員許可,以及所有其他佇列的檢視器許可。
+ 在陣列層級具有貢獻者存取權的使用者,以及在特定機群上具有擁有者存取權的使用者,具有該機群的擁有者許可,以及在其他地方具有貢獻者許可。
**注意**
在陣列、佇列或機群層級沒有任何成員資格的使用者無法存取這些資源,即使他們是透過 IAM Identity Center 進行身分驗證。
如需將成員資格指派給使用者和群組的說明,請參閱 [將許可指派給使用者和群組](assign-permissions-procedure.md)。
# 將許可指派給使用者和群組
使用截止日期雲端主控台,將存取層級指派給陣列、佇列或機群層級的使用者和群組。
**注意**
存取許可的變更最多可能需要 10 分鐘才能反映在系統中。
**導覽至存取管理**
1. 登入 AWS 管理主控台 並開啟截止日期雲端[主控台](https://console.aws.amazon.com/deadlinecloud/home)。
1. 在左側導覽窗格中,選擇**陣列和其他資源**。
1. 選取要管理的陣列。選擇陣列名稱以開啟詳細資訊頁面。您可以使用搜尋列來搜尋陣列。
1. (選用) 若要管理佇列或機群而非陣列,請選擇**佇列**或**機群**索引標籤,然後選擇要管理的佇列或機群。
1. 選擇**存取管理**索引標籤。
根據要採取的動作,選擇**群組**索引標籤或**使用者**索引標籤。
------
#### [ Groups ]
**新增群組**
1. 選取**群組**切換。
1. 選擇 **Add group (新增群組)**。
1. 從下拉式清單中,選取要新增的群組。
1. 針對群組存取層級,選擇下列其中一個選項:
+ **Viewer (檢視者)**
+ **Contributor (作者群)**
+ **管理員**
+ **擁有者**
1. 選擇**新增**。
**移除群組**
1. 選取要移除的群組。
1. 選擇**移除**。
1. 在確認對話方塊中,選擇**移除群組**。
------
#### [ Users ]
**新增使用者**
1. 若要新增使用者,請選擇**新增使用者**。
1. 從下拉式清單中,選取要新增的使用者。
1. 針對使用者存取層級,選擇下列其中一個選項:
+ **Viewer (檢視者)**
+ **Contributor (作者群)**
+ **管理員**
+ **擁有者**
1. 選擇**新增**。
**移除使用者**
1. 選取要移除的使用者。
1. 選擇**移除**。
1. 在確認對話方塊中,選擇**移除使用者**。
------