(Opcional) Atribuição de permissões a um usuário do IAM (por uma parte delegada)
Quando uma relação de confiança é estabelecida entre sua conta e outra conta, você se torna uma parte delegada. Por padrão, somente sua conta e os membros do grupo admin podem gerenciar recursos para a parte delegante. Para autorizar os usuários do IAM a gerenciar esses recursos, atribua permissões aos usuários.
Você pode autorizar um usuário do IAM a gerenciar recursos para todas as partes delegantes ou autorizar o usuário a gerenciar recursos para uma parte delegante específica.
Pré-requisitos
- Uma relação de confiança foi estabelecida entre sua conta e outra conta.
- Você obteve o nome da conta delegante e o nome e ID da agência criada.
Procedimento
- Crie um grupo de usuários e conceda permissões a ele.
- Na página User Groups, clique em Create User Group.
- Insira um nome de grupo de usuários.
- Clique em OK.
- Na linha que contém o grupo de usuários, clique em Authorize.
- Crie uma política personalizada.
Esta etapa é usada para criar uma política contendo as permissões necessárias para gerenciar recursos de uma agência específica. Se você quiser autorizar um usuário do IAM a gerenciar recursos para todas as agências, acesse 1.f.
- Na página Select Policy/Role, clique em Create Policy no canto superior direito da lista de permissões.
- Insira um nome de política.
- Selecione JSON para Policy View.
- Na área Policy Content, insira o seguinte conteúdo:
{ "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] }
- Substitua b36b1258b5dc41a4aa8255508xxx... pelo ID da agência obtido de uma parte delegante. Não faça nenhuma outra alteração.
- Para obter mais informações sobre permissões, consulte Gerenciamento de permissões.
- Clique em Next.
- Selecione a política criada na etapa anterior ou a função Agent Operator e clique em Next.
- Política personalizada: permite que um usuário gerencie recursos somente para uma agência identificada por um ID específico.
- Função Agent Operator: permite que um usuário gerencie recursos para todas as agências.
- Especifique o escopo da autorização.
- Clique em OK.
- Crie um usuário do IAM e adicione o usuário ao grupo de usuários.
- Na página Users, clique em Create User.
- Na página Create User, digite um nome de usuário.
- Selecione Management console access para Access Type e, em seguida, selecione Set by user para Credential Type.
- Ative a proteção de logon e clique em Next.
- Selecione o grupo de usuários criado em 1 e clique em Create.
Após a conclusão da autorização, o usuário do IAM pode alternar para a conta da parte delegante e gerenciar recursos específicos na conta.
Operações relacionadas
A conta delegada ou os usuários autorizados do IAM podem mudar suas funções para a conta delegante para visualizar e usar seus recursos.