本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
開始使用 AWS Supply Chain
在本節中,您可以學習如何建立 AWS Supply Chain 執行個體、授與使用者權限角色、登入 AWS Supply Chain Web 應用程式,以及建立自訂使用者權限角色。一個最多 AWS 帳戶 可以有 10 個 AWS Supply Chain 處於使用中或初始化狀態的執行個體。
主題
必要條件
建立 AWS Supply Chain 執行個體之前,請確定您已完成下列步驟:
-
您已經建立了 AWS 帳戶. 如需詳細資訊,請參閱 設定帳 AWS 戶。
注意
如果尚未啟用 AWS IAM Identity Center,請建立 AWS 組織並啟用 IAM 身分中心。如需有關建立 AWS 組織的詳細資訊,請參閱建立組織。
-
在您想要建立 AWS Supply Chain 執行個體的相同 AWS 區域 位置開啟 IAM 身分識別中心。 AWS Supply Chain 僅在美國東部 (維吉尼亞北部)、美國西部 (奧勒岡)、歐洲 (法蘭克福) 和歐洲 (愛爾蘭) 區域提供支援。如需詳細資訊,請參閱 啟用 IAM 身分識別中心 。
注意
AWS Supply Chain 「歐洲 (愛爾蘭)」區域不支援「需求計劃」與「供給計劃」。
注意
如果您尚未在此處列出的區域以外的區域啟用 IAM 身分中心,則無法建立 AWS Supply Chain 執行個體。
-
您可以從 AWS Identity and Access Management (IAM) 主控台建立 IAM 使用者。如需詳細資訊,請參閱 設定帳 AWS 戶。
-
新增需要存取 IAM 身分中心的使用者。 AWS Supply Chain 如需詳細資訊,請參閱 在 IAM 身分中心新增使用者。您也可以將作用中目錄連線至 IAM 身分中心。如需詳細資訊,請參閱AWS IAM Identity Center 使用者指南中的 Connect 到 Microsoft AD 目錄。
使用 Microsoft 活動目錄時,請確保啟用活動目錄同步。
-
你需要 AWS Key Management Service (AWS KMS)來創建一個實例。 AWS Supply Chain 使用它 AWS KMS key 來加密進入的所有數據 AWS Supply Chain。
使用 AWS Supply Chain 主控台
注意
如果您的 AWS 帳戶是 AWS 組織的成員帳戶,並且包含服務控制原則 (SCP),請確定組織的 SCP 將下列權限授與成員帳戶。如果組織的 SCP 原則中未包含下列權限,則 AWS Supply Chain 執行個體建立將會失敗。
若要存取 AWS Supply Chain 主控台,您必須擁有最少一組權限。這些權限必須允許您列出和檢視有關 AWS 帳戶. AWS Supply Chain 如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
您不需要為僅對 AWS CLI 或 AWS API 進行呼叫的使用者允許最低主控台權限。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
若要確保使用者和角色仍可使用 AWS Supply Chain 主控台,請同時將 AWS Supply Chain ConsoleAccess或受ReadOnly AWS
管理的原則附加至實體。如需詳細資訊,請參閱《IAM 使用者指南》中的新增許可到使用者。
Console 管理員需要下列權限才能成功建立和更新 AWS Supply Chain 執行個體。
{ "Version": "2012-10-17", "Statement": [ { "Action": "scn:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:CreateBucket", "s3:PutBucketVersioning", "s3:PutBucketObjectLockConfiguration", "s3:PutEncryptionConfiguration", "s3:PutBucketPolicy", "s3:PutLifecycleConfiguration", "s3:PutBucketPublicAccessBlock", "s3:DeleteObject", "s3:ListAllMyBuckets", "s3:PutBucketOwnershipControls", "s3:PutBucketNotification", "s3:PutAccountPublicAccessBlock", "s3:PutBucketLogging", "s3:PutBucketTagging" ], "Resource": "arn:aws:s3:::aws-supply-chain-*", "Effect": "Allow" }, { "Action": [ "cloudtrail:CreateTrail", "cloudtrail:PutEventSelectors", "cloudtrail:GetEventSelectors", "cloudtrail:StartLogging" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "events:DescribeRule", "events:PutRule", "events:PutTargets" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "chime:CreateAppInstance", "chime:DeleteAppInstance", "chime:PutAppInstanceRetentionSettings", "chime:TagResource" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "cloudwatch:PutMetricData", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "organizations:DescribeOrganization", "organizations:CreateOrganization", "organizations:EnableAWSServiceAccess" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:CreateGrant", "kms:RetireGrant", "kms:DescribeKey", "kms:ListAliases" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:GetRole", "iam:PutRolePolicy", "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "sso:StartPeregrine", "sso:DescribeRegisteredRegions", "sso:ListDirectoryAssociations", "sso:GetPeregrineStatus", "sso:GetSSOStatus", "sso:ListProfiles", "sso:GetProfile", "sso:AssociateProfile", "sso:AssociateDirectory", "sso:RegisterRegion", "sso:StartSSO", "sso:CreateManagedApplicationInstance", "sso:DeleteManagedApplicationInstance", "sso:GetManagedApplicationInstance", "sso-directory:SearchUsers" ], "Resource": "*", "Effect": "Allow" } ] }