本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 委派誰可以將單一登入存取權指派給管理帳戶中的使用者和群組 使用 IAM Identity Center 主控台將單一登入存取權指派給管理帳戶是一項特殊權限動作。根據預設,只有已連接 **AWSSSOMasterAccountAdministrator**和 **IAMFullAccess** AWS 受管政策的 AWS 帳戶根使用者 或 使用者可以將單一登入存取權指派給 管理帳戶。**AWSSSOMasterAccountAdministrator** 和 **IAMFullAccess**政策會管理 AWS Organizations 組織中管理帳戶的單一登入存取權。 或者,您可以使用 AWS CLI 來建立、連接政策,以及指派許可集。下列列出每個步驟的命令: + 若要建立許可集:[create-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-permission-set.html) + 若要連接至 AWS Managed Policy許可集: [attach-managed-policy-to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-managed-policy-to-permission-set.html) + 若要將客戶受管政策連接至許可集: [attach-customer-managed-policy-to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-customer-managed-policy-reference-to-permission-set.html) + 將許可集指派給委託人:[create-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-account-assignment.html) 使用下列步驟將管理單一登入存取的許可委派給您目錄中的使用者和群組。 **授予許可,以管理您目錄中使用者和群組的單一登入存取** 1. 以管理帳戶的根使用者或其他具有管理帳戶管理員許可的使用者身分登入 IAM Identity Center 主控台。 1. 依照 中的步驟[建立許可集](howtocreatepermissionset.md)建立許可集,然後執行下列動作: 1. 在**建立新的許可集**頁面上,選取**建立自訂許可集**核取方塊,然後選擇**下一步:詳細資訊**。 1. 在**建立新的許可集頁面上**,指定自訂許可集的名稱,以及選擇性的描述。如有需要,請修改工作階段持續時間並指定轉送狀態 URL。 **注意** 對於轉送狀態 URL,您必須指定 中的 URL AWS 管理主控台。例如: **https://console.aws.amazon.com/ec2/** 如需詳細資訊,請參閱[設定轉送狀態以快速存取 AWS 管理主控台](howtopermrelaystate.md)。 1. 在**您想要在許可集中包含哪些政策?**下,選取**連接 AWS 受管政策**核取方塊。 1. 在 IAM 政策清單中,選擇 **AWSSSOMasterAccountAdministrator** 和 **IAMFullAccess** AWS 受管政策。這些政策會將許可授予未來獲指派存取此許可集的任何使用者和群組。 1. 選擇下**一步:標籤**。 1. 在**新增標籤 (選用)** 下,指定**金鑰**和**值的值 (選用)**,然後選擇**下一步:檢閱**。如需標籤的詳細資訊,請參閱[標記 AWS IAM Identity Center 資源](tagging.md)。 1. 檢閱您所做的選擇,然後選擇**建立**。 1. 請依照 中的步驟[將使用者或群組存取權指派給 AWS 帳戶](assignusers.md),將適當的使用者和群組指派給您剛建立的許可集。 1. 向指派的使用者傳達以下內容:當他們登入 AWS 存取入口網站並選擇**帳戶**索引標籤時,他們必須選擇適當的角色名稱,以您剛委派的許可進行身分驗證。