(Opcional) Atribuição de permissões a um usuário do IAM (por uma parte delegada)
Quando uma relação de confiança é estabelecida entre sua conta e outra conta, você se torna uma parte delegada. Por padrão, apenas a sua conta e os membros do grupo do admin podem gerir recursos para a parte delegante. Para autorizar os usuários do IAM a gerenciar esses recursos, atribua permissões aos usuários.
Você pode autorizar um usuário do IAM a gerenciar recursos para todas as partes delegantes ou autorizar o usuário a gerenciar recursos para uma parte delegante específica.
Pré-requisitos
- Uma relação de confiança foi estabelecida entre sua conta e outra conta.
- Você obteve o nome da conta delegante e o nome e ID da agência criada.
Procedimento
- Criar um grupo de usuários e atribua permissões a ele.
- Na página User Groups, clique em Create User Group.
- Insira um nome de grupo de usuários.
- Clique em OK.
- Na linha que contém o grupo de usuários, clique em Authorize.
- Crie uma política personalizada
Esse passo é usado para criar uma política contendo as permissões necessárias para gerenciar recursos de uma agência específica. Se você quiser autorizar um usuário do IAM a gerenciar recursos para todas as agências, acesse 1.f.
- Na página Select Policy/Role, clique em Create Policy no canto superior direito da lista de permissões.
- Insira o nome de uma política.
- Selecione JSON para Policy View.
- Na área Policy Content, insira o seguinte conteúdo:
{ "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] }
- Substituir b36b1258b5dc41a4aa8255508xxx... com o ID da agência obtido de uma parte delegante. Não faça nenhuma outra alteração.
- Para obter mais informações sobre permissões, consulte Permissões.
- Clique em Next.
- Selecione a política criada no passo anterior ou a função Agent Operator e clique em Next.
- Políticas personalizadas: Permite que um usuário gerencie recursos apenas para uma agência específica.
- Função Agent Operator: Permite que um usuário gerencie recursos para todas as agências.
- Especifique o escopo de autorização.
- Clique em OK.
- Criar um usuário do IAM e adicionar o usuário ao grupo de usuários.
- Na página Users, clique em Create User.
- Na página Create User, insira um nome de usuário.
- Para o tipo de acesso, selecione Management console access e Set by user.
- Ative a proteção de login e clique em Next.
- Selecione o grupo de usuários criado em 1 e clique em Create.
Após a conclusão da autorização, o usuário do IAM pode alternar para a conta da parte delegante e gerenciar recursos específicos sob a conta.
Operações relacionadas
A conta delegada ou os usuários autorizados do IAM podem mudar suas funções para a conta delegada para visualizar e usar seus recursos.