本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立、管理和刪除許可集 許可集定義使用者和群組對 的存取層級 AWS 帳戶。許可集存放在 IAM Identity Center 中,並可佈建至一或多個 AWS 帳戶。您可以為使用者指派多個許可集合。如需許可集及其在 IAM Identity Center 中的使用方式的詳細資訊,請參閱 [AWS 帳戶 使用許可集管理](permissionsetsconcept.md)。 **注意** 您可以在 IAM Identity Center 主控台中依名稱搜尋和排序許可集。 建立許可集時,請謹記下列考量事項: + **組織執行個體** 若要使用許可集,您需要使用 IAM Identity Center 的組織執行個體。如需詳細資訊,請參閱[IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。 + **從預先定義的許可集開始** 透過使用預先定義[許可的預先定義](permissionsetpredefined.md)許可集,您可以從可用政策清單中選擇單一 AWS 受管政策。每個政策會授予特定層級的存取權,以存取常見任務函數 AWS 的服務和資源或許可。如需這些政策的詳細資訊,請參閱 [AWS 任務函數的 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。收集用量資料後,您可以將許可集精簡為更具限制性。 + **將管理工作階段持續時間限制在合理的工作期間** 當使用者聯合到他們的 AWS 帳戶 並使用 AWS 管理主控台 或 AWS 命令列界面 (AWS CLI) 時,IAM Identity Center 會使用許可集上的工作階段持續時間設定來控制工作階段的持續時間。當使用者工作階段達到工作階段持續時間時,他們會登出主控台並要求 再次登入。基於安全最佳實務,建議工作階段持續時間的長度設定勿超過執行其角色所需的時間。根據預設,**工作階段持續時間**的值為一小時。您可以指定最大值 12 小時。如需詳細資訊,請參閱[設定 的工作階段持續時間 AWS 帳戶](howtosessionduration.md)。 + **限制人力資源使用者入口網站工作階段持續時間** 人力使用者使用入口網站工作階段來選擇角色和存取應用程式。根據預設,**工作階段持續時間上限**的值為 8 小時,此值決定人力使用者在必須重新驗證之前可以登入 AWS 存取入口網站的時間長度。您可以指定最大值 90 天。如需詳細資訊,請參閱[在 IAM Identity Center 中設定工作階段持續時間](configure-user-session.md)。 + **使用提供最低權限許可的角色 ** 您建立並指派給使用者的每個許可集都會在 AWS 存取入口網站中顯示為可用角色。當您以該使用者身分登入入口網站時,請選擇對應至您可用來在帳戶中執行任務之最嚴格許可集的角色,而非 `AdministratorAccess`。在傳送使用者邀請之前,測試您的許可集以確認其提供必要的存取權。 **注意** 您也可以使用 [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html) 來建立和指派許可集,並將使用者指派給這些許可集。 **Topics** + [建立許可集](howtocreatepermissionset.md) + [檢視和變更許可集](howtoviewandchangepermissionset.md) + [委派許可集管理](permissionsetdelegation.md) + [在許可集中使用 IAM 政策](howtocmp.md) + [在 IAM Identity Center 中移除許可集](howtoremovepermissionset.md) + [在 IAM Identity Center 中刪除許可集](howtodeletepermissionset.md)