Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erste Schritte mit IAM Identity Center
Im Folgenden wird beschrieben, wie Sie mit IAM Identity Center beginnen können.
1. **IAM Identity Center aktivieren**
Wenn Sie [IAM Identity Center aktivieren](enable-identity-center.md), können Sie zwischen zwei Arten von IAM Identity Center-Instanzen wählen. Diese Typen sind: [*Organisationsinstanzen*](organization-instances-identity-center.md) (empfohlen) und [*Kontoinstanzen*](account-instances-identity-center.md). Weitere Informationen zu den verschiedenen Funktionen dieser Instanztypen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
**Anmerkung**
Nachdem IAM Identity Center aktiviert wurde, können Sie sich anmelden und die [IAM Identity Center-Konsole](https://console.aws.amazon.com//singlesignon/) öffnen, indem Sie einen der folgenden Schritte ausführen:
**Organisationsinstanz** — Melden Sie sich mit AWS Anmeldeinformationen und Administratorrechten im Verwaltungskonto an.
**Kontoinstanz** — Melden Sie sich mit AWS Anmeldeinformationen und Administratorrechten in dem Bereich an, in AWS-Konto dem IAM Identity Center aktiviert ist.
1. **Connect Ihre Identitätsquelle mit dem IAM Identity Center**
Bestätigen Sie in der IAM Identity Center-Konsole die Identitätsquelle, die Sie verwenden möchten. Im Folgenden finden Sie Informationen zu Identitätsquellen:
+ **Externer Identitätsanbieter** — Wenn Sie bereits über einen Identitätsanbieter zur Verwaltung Ihrer Workforce-Benutzer verfügen, können Sie ihn mit IAM Identity Center verbinden. Weitere Informationen zur Konfiguration häufig verwendeter Identitätsanbieter für die Zusammenarbeit mit IAM Identity Center finden Sie unter. [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md)
+ **Active Directory** — Wenn Sie Active Directory zur Verwaltung Ihrer Workforce-Benutzer verwenden, können Sie es mit dem IAM Identity Center verbinden. Weitere Informationen finden Sie unter [Verwenden von Active Directory als Identitätsquelle](gs-ad.md).
+ **IAM Identity Center** — Alternativ können Sie [Benutzer und Gruppen direkt im IAM Identity Center erstellen und verwalten](quick-start-default-idc.md).
**Anmerkung**
Derzeit müssen Sie einen externen Identitätsanbieter als Identitätsquelle verwenden, um die Vorteile einer regionsübergreifenden Einrichtung mit Ihrem IAM Identity Center nutzen zu können. Weitere Informationen zu den Vorteilen dieses Setups finden Sie unter. [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md)
1. **Richten Sie den Benutzerzugriff ein für AWS-Konten (nur Organisationsinstanz)**
Wenn Sie eine Organisationsinstanz von IAM Identity Center verwenden, können Sie [Benutzer- oder Gruppenzugriff zuweisen AWS-Konten](https://docs.aws.amazon.com//singlesignon/latest/userguide/assignusers.html) und Ihren Benutzern mithilfe von [Berechtigungssätzen](https://docs.aws.amazon.com//singlesignon/latest/userguide/permissionsetsconcept.html) Zugriff auf AWS-Konten und Ressourcen gewähren.
1. **Richten Sie Benutzerzugriff auf Anwendungen ein**
Mit IAM Identity Center können Sie Benutzern Zugriff auf zwei Arten von Anwendungen gewähren:
1. **[AWS verwaltete Anwendungen](awsapps.md)**
+ Sie können IAM Identity Center mit AWS verwalteten Anwendungen wie Amazon Q Business und Amazon Redshift verwenden. AWS CLI Weitere Informationen erhalten Sie unter [AWS verwaltete Anwendungen](awsapps.md) und [Integration von AWS CLI mit IAM Identity Center](integrating-aws-cli.md).
1. **[Vom Kunden verwaltete Anwendungen](customermanagedapps.md)**
+ Sie können eine der folgenden Arten von kundenverwalteten Anwendungen in IAM Identity Center integrieren:
+ [Anwendungen, die im IAM Identity Center-Katalog aufgeführt sind](saasapps.md)
+ [Ihre benutzerdefinierten Anwendungen](customermanagedapps-set-up-your-own-app-saml2.md)
+ Nach der Konfiguration Ihrer Anwendung können Sie [Ihren Benutzern Zugriff auf die Anwendung zuweisen](assignuserstoapp.md).
1. **Stellen Sie Ihren Benutzern Anweisungen zur Anmeldung für das AWS Zugriffsportal zur Verfügung**
Das AWS Zugriffsportal ist ein Webportal, das Ihren Benutzern nahtlosen Zugriff auf alle ihnen zugewiesenen Anwendungen oder auf beide bietet. AWS-Konten Neue Benutzer in IAM Identity Center müssen ihre Benutzeranmeldedaten aktivieren, bevor sie sich beim AWS Zugriffsportal anmelden können.
Informationen zur Anmeldung beim AWS Access-Portal finden Sie unter [Anmelden im AWS Access-Portal](https://docs.aws.amazon.com//signin/latest/userguide/iam-id-center-sign-in-tutorial.html) im *AWS-Anmeldung Benutzerhandbuch*. Weitere Informationen zum Anmeldevorgang für das AWS Access-Portal finden Sie unter [Beim AWS Access-Portal anmelden](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtosignin.html).
# Voraussetzungen und Überlegungen zu IAM Identity Center
Sie können IAM Identity Center nur für den Zugriff auf AWS verwaltete Anwendungen, AWS-Konten nur oder für beides verwenden. Wenn Sie den IAM-Verbund zur Verwaltung des Zugriffs auf verwenden AWS-Konten, können Sie dies weiterhin tun und gleichzeitig IAM Identity Center für den Anwendungszugriff verwenden.
Bevor Sie IAM Identity Center aktivieren, sollten Sie Folgendes beachten:
+ AWS Region
Sie aktivieren IAM Identity Center zunächst in einer einzelnen, [unterstützten](regions.md) Region für jede Instanz von IAM Identity Center. Wenn Sie IAM Identity Center für den Single-Sign-On-Zugriff auf AWS Konten verwenden möchten, muss die Region für alle Benutzer in Ihrer Organisation zugänglich sein. Wenn Sie planen, IAM Identity Center für den Anwendungszugriff zu verwenden, beachten Sie, dass einige AWS verwaltete Anwendungen, wie Amazon SageMaker AI, nur in den Regionen ausgeführt werden können, die sie unterstützen. Außerdem muss IAM Identity Center für die meisten AWS verwalteten Anwendungen in derselben Region wie die Anwendung verfügbar sein. Dies kann erreicht werden, indem sie sich in derselben Region befinden, oder, sofern dies unterstützt wird, indem die IAM Identity Center-Instanz in die gewünschte Bereitstellungsregion einer verwalteten Anwendung repliziert wird. AWS Weitere Informationen finden Sie unter [Überlegungen zur Auswahl eines AWS-Region](identity-center-region-considerations.md).
+ Nur Anwendungszugriff
Sie können IAM Identity Center nur für den Benutzerzugriff auf Anwendungen wie Kiro verwenden, indem Sie Ihren vorhandenen Identitätsanbieter verwenden. Weitere Informationen finden Sie unter [IAM Identity Center nur für den Benutzerzugriff auf Anwendungen verwenden](identity-center-for-apps-only.md).
**Anmerkung**
Der Zugriff auf Anwendungsressourcen wird unabhängig vom Anwendungseigentümer verwaltet.
+ Kontingent für IAM-Rollen
IAM Identity Center erstellt IAM-Rollen, um Benutzern Berechtigungen für Kontoressourcen zu erteilen. Weitere Informationen finden Sie unter [Von IAM Identity Center erstellte IAM-Rollen](identity-center-and-iam-roles.md).
+ IAM Identity Center und AWS Organizations
AWS Organizations wird für die Verwendung mit IAM Identity Center empfohlen, ist aber nicht erforderlich. Wenn Sie noch keine Organisation eingerichtet haben, müssen Sie das auch nicht tun. Wenn Sie IAM Identity Center bereits eingerichtet haben AWS Organizations und zu Ihrer Organisation hinzufügen möchten, stellen Sie sicher, dass alle AWS Organizations Funktionen aktiviert sind. Weitere Informationen finden Sie unter [IAM Identity Center und AWS Organizations](identity-center-and-orgs.md).
Die Webschnittstellen von IAM Identity Center, einschließlich des Zugriffsportals und der IAM Identity Center-Konsole, sind für den menschlichen Zugriff über unterstützte Webbrowser vorgesehen. Zu den kompatiblen Browsern gehören die neuesten drei Versionen von Microsoft Edge, Mozilla Firefox, Google Chrome und Apple Safari. Der Zugriff auf diese Endpunkte über nicht browserbasierte Pfade wird nicht unterstützt. Für den programmatischen Zugriff auf IAM Identity Center-Dienste empfehlen wir, die in den API-Referenzhandbüchern für IAM Identity Center und Identity Store APIs verfügbaren Dokumente zu verwenden.
# Überlegungen zur Auswahl eines AWS-Region
Sie können IAM Identity Center in einem einzigen, unterstützten System AWS-Region Ihrer Wahl aktivieren, das Benutzern weltweit zur Verfügung steht. Diese globale Verfügbarkeit erleichtert Ihnen die Konfiguration des Benutzerzugriffs auf mehrere AWS-Konten Anwendungen. Im Folgenden finden Sie wichtige Überlegungen zur Auswahl eines AWS-Region.
+ **Geografischer Standort Ihrer Benutzer** — Wenn Sie eine Region auswählen, die der Mehrheit Ihrer Endbenutzer geografisch am nächsten liegt, haben diese eine geringere Latenz beim Zugriff auf das AWS Zugriffsportal und AWS verwaltete Anwendungen wie Amazon SageMaker AI.
+ **Opt-in-Regionen (Regionen, die standardmäßig deaktiviert sind)** — Eine Opt-in-Region ist eine Region AWS-Region , die standardmäßig deaktiviert ist. Um eine Opt-in-Region zu verwenden, müssen Sie sie aktivieren. Weitere Informationen finden Sie unter [Verwaltung des IAM Identity Center in einer Opt-in-Region](regions.md#manually-enabled-regions).
+ **IAM Identity Center in weitere Regionen replizieren** — Wenn Sie planen, IAM Identity Center in weitere Regionen zu replizieren, müssen Sie eine Region auswählen AWS-Regionen, die standardmäßig aktiviert ist. Weitere Informationen finden Sie unter [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md).
+ **Auswahl der Bereitstellungsregionen für AWS verwaltete Anwendungen** — AWS verwaltete Anwendungen können nur in den Regionen ausgeführt werden, AWS-Regionen in denen sie verfügbar sind. Viele AWS verwaltete Anwendungen können auch nur in einer Region betrieben werden, in der IAM Identity Center aktiviert oder repliziert ist (primäre oder zusätzliche Region). Um zu überprüfen, ob Ihre IAM Identity Center-Instanz die Replikation in weitere Regionen unterstützt, finden Sie unter. [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md) Wenn Replikation keine Option ist, sollten Sie in Erwägung ziehen, IAM Identity Center in der Region zu aktivieren, in der Sie AWS verwaltete Anwendungen verwenden möchten.
+ **Digitale Souveränität** — Vorschriften zur digitalen Souveränität oder Unternehmensrichtlinien können den Einsatz einer bestimmten AWS-Region Technologie vorschreiben. Wenden Sie sich an die Rechtsabteilung Ihres Unternehmens.
+ **Identitätsquelle** — Wenn Sie Ihr selbstverwaltetes Verzeichnis in [Active Directory (AD)](connectonpremad.md) als Identitätsquelle verwenden [AWS Managed Microsoft AD](connectawsad.md), muss dessen Heimatregion mit der Region übereinstimmen, AWS-Region in der Sie IAM Identity Center aktiviert haben.
+ **Regionsübergreifende E-Mails mit Amazon Simple Email Service** — In einigen Regionen ruft IAM Identity Center möglicherweise [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) in einer anderen Region an, um E-Mails zu senden. Bei diesen regionsübergreifenden Anrufen sendet IAM Identity Center bestimmte Benutzerattribute an die andere Region. Weitere Informationen finden Sie unter [Regionsübergreifende E-Mails mit Amazon SES](regions.md#cross-region-calls).
+ **AWS Control Tower**— Wenn Sie eine Organisationsinstanz von IAM Identity Center aus aktivieren AWS Control Tower, wird die Instanz in derselben Region wie die AWS Control Tower landing zone erstellt.
**Topics**
+ [Datenspeicherung und Betrieb der Region IAM Identity Center](regions.md)
+ [Wechseln AWS-Regionen](switching-regions.md)
+ [Deaktivierung und AWS-Region wo IAM Identity Center aktiviert ist](disabling-region-with-identity-center.md)
# Datenspeicherung und Betrieb der Region IAM Identity Center
Erfahren Sie, wie IAM Identity Center die Datenspeicherung und den Betrieb von Daten in allen Bereichen handhabt. AWS-Regionen
## Erfahren Sie, wie IAM Identity Center Daten speichert
Wenn Sie IAM Identity Center aktivieren, werden alle Daten, die Sie in IAM Identity Center konfigurieren, in der Region gespeichert, in der Sie es aktiviert haben. Zu diesen Daten gehören Verzeichniskonfigurationen, Berechtigungssätze, Anwendungsinstanzen und Benutzerzuweisungen zu AWS-Konto Anwendungen. Wenn Sie den IAM Identity Center-Identitätsspeicher verwenden, werden alle Benutzer und Gruppen, die Sie in IAM Identity Center erstellen, ebenfalls in derselben Region gespeichert. Wenn Sie Ihre IAM Identity Center-Instanz in weitere Regionen replizieren, repliziert IAM Identity Center automatisch Benutzer, Gruppen, Berechtigungssätze und deren Zuweisungen sowie andere Metadaten und Konfigurationen in diese Regionen.
## Regionsübergreifende E-Mails mit Amazon SES
IAM Identity Center verwendet [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html), um E-Mails an Endbenutzer zu senden, wenn diese versuchen, sich mit einem Einmalpasswort (OTP) als zweitem Authentifizierungsfaktor anzumelden. Diese E-Mails werden auch für bestimmte Ereignisse zur Identitäts- und Anmeldeinformationsverwaltung gesendet, z. B. wenn der Benutzer aufgefordert wird, ein erstes Passwort einzurichten, eine E-Mail-Adresse zu verifizieren und sein Passwort zurückzusetzen. Amazon SES ist in einer Teilmenge der von AWS-Regionen IAM Identity Center unterstützten Optionen verfügbar.
IAM Identity Center ruft lokale Amazon SES-Endpunkte auf, wenn Amazon SES lokal in einem verfügbar ist. AWS-Region Wenn Amazon SES nicht lokal verfügbar ist, ruft IAM Identity Center Amazon SES SES-Endpunkte auf einem anderen Weg auf AWS-Region, wie in der folgenden Tabelle angegeben.
| Regionalcode für das IAM Identity Center | Name der Region für das IAM Identity Center | Amazon SES SES-Regionalcode | Name der Amazon SES SES-Region |
| --- | --- | --- | --- |
| ap-east-1 | Asien-Pazifik (Hongkong) | ap-northeast-2 | Asien-Pazifik (Seoul) |
| ap-east-2 | Asien-Pazifik (Taipeh) | ap-northeast-1 | Asien-Pazifik (Tokio) |
| ap-south-2 | Asien-Pazifik (Hyderabad) | ap-south-1 | Asien-Pazifik (Mumbai) |
| ap-southeast-4 | Asien-Pazifik (Melbourne) | ap-southeast-2 | Asien-Pazifik (Sydney) |
| ap-southeast-5 | Asien-Pazifik (Malaysia) | ap-southeast-1 | Asien-Pazifik (Singapur) |
| ap-southeast-6 | Asien-Pazifik (Neuseeland) | ap-southeast-2 | Asien-Pazifik (Sydney) |
| ap-southeast-7 | Asien-Pazifik (Thailand) | ap-northeast-3 | Asien-Pazifik (Osaka) |
| ca-west-1 | Kanada West (Calgary) | ca-central-1 | Kanada (Zentral) |
| eu-south-2 | Europa (Spain) | eu-west-3 | Europa (Paris) |
| eu-central-2 | Europa (Zürich) | eu-central-1 | Europa (Frankfurt) |
| mx-central-1 | Mexiko (Zentral) | us-east-2 | USA Ost (Ohio) |
| me-central-1 | Naher Osten (VAE) | eu-central-1 | Europa (Frankfurt) |
| us-gov-east-1 | AWS GovCloud (USA-Ost) | us-gov-west-1 | AWS GovCloud (US-West) |
Bei diesen regionsübergreifenden Aufrufen sendet IAM Identity Center möglicherweise die folgenden Benutzerattribute:
+ E-Mail-Adresse
+ Vorname
+ Nachname
+ Konto in AWS Organizations
+ AWS Portal-URL aufrufen
+ Username
+ Verzeichnis-ID
+ Benutzer-ID
## Verwaltung des IAM Identity Center in einer Opt-in-Region (Region, die standardmäßig deaktiviert ist)
Die meisten AWS-Regionen sind standardmäßig für den Betrieb in allen AWS Diensten aktiviert, aber Sie müssen die folgenden [Opt-in-Regionen](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion) aktivieren, wenn Sie IAM Identity Center verwenden möchten:
+ Afrika (Kapstadt)
+ Asien-Pazifik (Hongkong)
+ Asien-Pazifik (Taipeh)
+ Asien-Pazifik (Hyderabad)
+ Asien-Pazifik (Jakarta)
+ Asien-Pazifik (Melbourne)
+ Asien-Pazifik (Malaysia)
+ Asien-Pazifik (Neuseeland)
+ Asien-Pazifik (Thailand)
+ Kanada West (Calgary)
+ Europa (Milan)
+ Europa (Spain)
+ Europa (Zürich)
+ Israel (Tel Aviv)
+ Mexiko (Zentral)
+ Middle East (Bahrain)
+ Naher Osten (VAE)
Wenn Sie IAM Identity Center in einer Opt-in-Region bereitstellen, müssen Sie diese Region in allen Konten aktivieren, für die Sie den Zugriff auf IAM Identity Center verwalten möchten. Alle Konten benötigen diese Konfiguration, unabhängig davon, ob Sie Ressourcen in dieser Region erstellen oder nicht. Sie können eine Region für die aktuellen Konten in Ihrer Organisation aktivieren und müssen diese Aktion wiederholen, wenn Sie neue Konten hinzufügen. Anweisungen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Aktivieren oder Deaktivieren einer Region in Ihrer Organisation](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization). Um diese zusätzlichen Schritte nicht wiederholen zu müssen, können Sie Ihr IAM Identity Center in einer [Region bereitstellen, die standardmäßig aktiviert ist](#regions-enabled-by-default).
**Anmerkung**
Ihr AWS Mitgliedskonto muss der gleichen Region angehören wie die Opt-in-Region, in der sich Ihre IAM Identity Center-Instanz befindet, damit Sie über das Zugriffsportal auf das AWS Mitgliedskonto zugreifen können. AWS
**Metadaten, die in Opt-in-Regionen gespeichert sind**
Wenn Sie IAM Identity Center für ein Verwaltungskonto in einem Opt-In aktivieren AWS-Region, werden die folgenden IAM Identity Center-Metadaten für alle Mitgliedskonten in der Region gespeichert.
+ Konto-ID
+ Account name (Kontoname)
+ Konto-E-Mail
+ Amazon-Ressourcennamen (ARNs) der IAM-Rollen, die IAM Identity Center im Mitgliedskonto erstellt
## AWS-Regionen die standardmäßig aktiviert sind
Die folgenden Regionen sind standardmäßig aktiviert, und Sie können IAM Identity Center in diesen Regionen aktivieren.
+ US East (Ohio)
+ USA Ost (Nord-Virginia)
+ USA West (Oregon)
+ USA West (Nordkalifornien)
+ Europa (Paris)
+ Südamerika (São Paulo)
+ Asien-Pazifik (Mumbai)
+ Europa (Stockholm)
+ Asia Pacific (Seoul)
+ Asien-Pazifik (Tokio)
+ Europa (Irland)
+ Europa (Frankfurt)
+ Europa (London)
+ Asien-Pazifik (Singapur)
+ Asien-Pazifik (Sydney)
+ Kanada (Zentral)
+ Asien-Pazifik (Osaka)
# Wechseln AWS-Regionen
Wir empfehlen, dass Sie IAM Identity Center in einer Region installieren, die Sie weiterhin für Benutzer verfügbar halten möchten, und nicht in einer Region, die Sie möglicherweise deaktivieren müssen. Weitere Informationen finden Sie unter [Überlegungen zur Auswahl eines AWS-Region](identity-center-region-considerations.md).
Sie können Ihre IAM Identity Center-Region nur wechseln, indem [Sie Ihre aktuelle IAM Identity Center-Instanz löschen und eine Instanz](delete-config.md) in einer anderen Region erstellen. Wenn Sie bereits eine AWS verwaltete Anwendung mit Ihrer vorhandenen IAM Identity Center-Instanz aktiviert haben, deaktivieren Sie die Anwendung, bevor Sie IAM Identity Center löschen. Anweisungen zur Deaktivierung AWS verwalteter Anwendungen finden Sie unter. [Deaktivierung einer AWS verwalteten Anwendung](awsapps-remove.md)
**Anmerkung**
Wenn Sie erwägen, Ihre IAM Identity Center-Region zu wechseln, um die Bereitstellung einer AWS verwalteten Anwendung in einer anderen Region zu ermöglichen, sollten Sie stattdessen Ihre IAM Identity Center-Instanz in diese Region replizieren. Weitere Informationen finden Sie unter [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md).
**Überlegungen zur Konfiguration in der neuen Region**
Sie müssen Benutzer, Gruppen, Berechtigungssätze, Anwendungen und Zuweisungen in der neuen IAM Identity Center-Instanz neu erstellen. Sie können das IAM Identity Center-Konto und die Anwendungszuweisung verwenden [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html), um einen Snapshot Ihrer Konfiguration zu erstellen und diesen Snapshot dann verwenden, um Ihre Konfiguration in einer neuen Region neu aufzubauen. Wenn Sie zu einer anderen Region wechseln, ändert sich auch die URL für das [AWS Zugriffsportal](using-the-portal.md), das Ihren Benutzern Single-Sign-On-Zugriff auf ihre Anwendungen AWS-Konten bietet. Möglicherweise müssen Sie auch einige IAM Identity Center-Konfigurationen über die Management Console Ihrer neuen Instanz neu erstellen.
# Deaktivierung und AWS-Region wo IAM Identity Center aktiviert ist
Wenn Sie einen deaktivieren, AWS-Region in dem IAM Identity Center installiert ist, ist IAM Identity Center ebenfalls deaktiviert. Nachdem IAM Identity Center in einer Region deaktiviert wurde, haben Benutzer in dieser Region keinen Single Sign-On-Zugriff auf Anwendungen. AWS-Konten
Um IAM Identity Center im [Opt-In](regions.md#manually-enabled-regions) wieder zu aktivieren AWS-Regionen, müssen Sie die Region erneut aktivieren. Da IAM Identity Center alle unterbrochenen Ereignisse erneut verarbeiten muss, kann die erneute Aktivierung von IAM Identity Center einige Zeit dauern.
**Anmerkung**
IAM Identity Center kann nur den Zugriff auf diejenigen verwalten, die für AWS-Konten die Verwendung in einem aktiviert sind. AWS-Region Um den Zugriff für alle Konten in Ihrer Organisation zu verwalten, aktivieren Sie IAM Identity Center im Verwaltungskonto eines Kontos, das automatisch für AWS-Region die Verwendung mit IAM Identity Center aktiviert wird.
*Weitere Informationen zur Aktivierung und Deaktivierung AWS-Regionen finden Sie AWS-Regionen in der AWS allgemeinen [Referenz unter Verwaltung](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html).*
# IAM Identity Center nur für den Benutzerzugriff auf Anwendungen verwenden
Sie können IAM Identity Center für den Benutzerzugriff auf Anwendungen wie Kiro oder beides verwenden. AWS-Konten Sie können Ihren vorhandenen Identitätsanbieter verbinden und Benutzer und Gruppen aus Ihrem Verzeichnis synchronisieren oder [Benutzer direkt in IAM Identity Center erstellen und verwalten](quick-start-default-idc.md). Informationen darüber, wie Sie Ihren vorhandenen Identitätsanbieter mit IAM Identity Center verbinden, finden Sie unter. [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md)
**Verwenden Sie IAM bereits für den Zugriff auf? AWS-Konten**
Sie müssen keine Änderungen an Ihren aktuellen AWS-Konto Workflows vornehmen, um IAM Identity Center für den Zugriff auf AWS verwaltete Anwendungen zu verwenden. Wenn Sie den [Verbund mit IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam) für den AWS-Konto Zugriff verwenden, können Ihre Benutzer weiterhin auf die gleiche AWS-Konten Weise zugreifen, wie sie es immer getan haben, und Sie können weiterhin Ihre vorhandenen Workflows verwenden, um diesen Zugriff zu verwalten.
# Von IAM Identity Center erstellte IAM-Rollen
Wenn Sie einem AWS Konto einen Benutzer zuweisen, erstellt IAM Identity Center IAM-Rollen, um Benutzern Berechtigungen für Ressourcen zu erteilen.
Wenn Sie einen Berechtigungssatz zuweisen, erstellt IAM Identity Center in jedem Konto die entsprechenden, vom IAM Identity Center kontrollierten IAM-Rollen und fügt diesen Rollen die im Berechtigungssatz angegebenen Richtlinien zu. IAM Identity Center verwaltet die Rolle und ermöglicht es den von Ihnen definierten autorisierten Benutzern, die Rolle über das Zugriffsportal oder zu übernehmen. AWS AWS CLI Wenn Sie den Berechtigungssatz ändern, stellt IAM Identity Center sicher, dass die entsprechenden IAM-Richtlinien und -Rollen entsprechend aktualisiert werden. Die Replikation Ihrer IAM Identity Center-Instanz in weitere Regionen hat keine Auswirkungen auf bestehende IAM-Rollen und es werden keine neuen IAM-Rollen erstellt.
**Anmerkung**
Berechtigungssätze werden nicht verwendet, um Anwendungen Berechtigungen zu erteilen.
Wenn Sie in Ihrem bereits IAM-Rollen konfiguriert haben, empfehlen wir Ihnen AWS-Konto, zu überprüfen, ob sich Ihr Konto dem Kontingent für IAM-Rollen nähert. Das Standardkontingent für IAM-Rollen pro Konto beträgt 1000 Rollen. Weitere Informationen finden Sie unter [IAM-Objektkontingente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities).
Wenn Sie sich dem Kontingent nähern, sollten Sie erwägen, eine Erhöhung des Kontingents zu beantragen. Andernfalls könnten Probleme mit IAM Identity Center auftreten, wenn Sie Berechtigungssätze für Konten bereitstellen, die das IAM-Rollenkontingent überschritten haben. Informationen dazu, wie Sie eine Kontingenterhöhung [beantragen können, finden Sie unter Eine Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) beantragen im *Service Quotas User Guide*.
**Anmerkung**
Wenn Sie die IAM-Rollen in einem Konto überprüfen, das bereits IAM Identity Center verwendet, fallen Ihnen möglicherweise Rollennamen auf, die mit beginnen. “AWSReservedSSO\$1” Dies sind die Rollen, die der IAM Identity Center-Dienst für das Konto erstellt hat. Sie stammen aus der Zuweisung eines Berechtigungssatzes für das Konto.
# IAM Identity Center und AWS Organizations
AWS Organizations wird für die Verwendung mit IAM Identity Center empfohlen, ist aber nicht erforderlich. Wenn Sie noch keine Organisation eingerichtet haben, müssen Sie das auch nicht tun. Wenn Sie IAM Identity Center aktivieren, wählen Sie aus, ob Sie den Dienst mit AWS Organizations aktivieren möchten. Wenn Sie eine Organisation einrichten, wird die Organisation, AWS-Konto die die Organisation einrichtet, zum Verwaltungskonto der Organisation. Der Root-Benutzer von AWS-Konto ist jetzt der Besitzer des Organisationsverwaltungskontos. Alle weiteren, die AWS-Konten Sie zu Ihrer Organisation einladen, sind Mitgliedskonten. Das Verwaltungskonto erstellt die Ressourcen, Organisationseinheiten und Richtlinien der Organisation, mit denen die Mitgliedskonten verwaltet werden. Berechtigungen werden vom Verwaltungskonto an Mitgliedskonten delegiert.
**Anmerkung**
Wir empfehlen, dass Sie IAM Identity Center mit aktivieren AWS Organizations, wodurch eine Organisationsinstanz von IAM Identity Center erstellt wird. Eine Organisationsinstanz ist unsere empfohlene bewährte Methode, da sie alle Funktionen von IAM Identity Center unterstützt und zentrale Verwaltungsfunktionen bietet. Weitere Informationen finden Sie unter [Organisationsinstanzen von IAM Identity Center](organization-instances-identity-center.md).
Wenn Sie IAM Identity Center bereits eingerichtet haben AWS Organizations und es Ihrer Organisation hinzufügen möchten, stellen Sie sicher, dass alle AWS Organizations Funktionen aktiviert sind. Wenn Sie eine Organisation erstellen, werden standardmäßig alle Funktionen aktiviert. Weitere Informationen finden Sie unter [Aktivieren aller Funktionen in Ihrer Organisation ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) im *AWS Organizations Benutzerhandbuch*.
Um eine Organisationsinstanz von IAM Identity Center zu aktivieren, müssen Sie sich beim anmelden, AWS-Managementkonsole indem Sie sich mit Ihrem AWS Organizations Verwaltungskonto als Benutzer mit Administratoranmeldedaten oder als Root-Benutzer anmelden (nicht empfohlen, sofern keine anderen Administratorbenutzer vorhanden sind). Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [AWS Organisation erstellen und verwalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html).
Wenn Sie mit Administratoranmeldedaten von einem AWS Organizations Mitgliedskonto aus angemeldet sind, können Sie eine Kontoinstanz von IAM Identity Center aktivieren. Kontoinstanzen haben eingeschränkte Funktionen und sind an ein einziges AWS Konto gebunden.
# Organisations- und Kontoinstanzen von IAM Identity Center
Eine Instanz ist eine einzelne Bereitstellung von IAM Identity Center. Für IAM Identity Center sind zwei Arten von Instanzen verfügbar: *Organisationsinstanzen* und *Kontoinstanzen*.
+ Organisationsinstanz (empfohlen)
Eine Instanz von IAM Identity Center, die Sie im AWS Organizations Verwaltungskonto aktivieren. Organisationsinstanzen unterstützen alle Funktionen von IAM Identity Center. Wir empfehlen, eine Organisationsinstanz anstelle von Kontoinstanzen bereitzustellen, um die Anzahl der Verwaltungspunkte zu minimieren.
+ Kontoinstanz
Eine Instanz von IAM Identity Center, die an eine einzelne AWS-Konto Instanz gebunden ist und nur in der AWS-Konto AWS Region sichtbar ist, in der sie aktiviert ist. Verwenden Sie eine Kontoinstanz für einfachere Szenarien mit einem Konto. Sie können eine Kontoinstanz über eine der folgenden Optionen aktivieren:
+ Und AWS-Konto das wird nicht verwaltet von AWS Organizations
+ Ein Mitgliedskonto in AWS Organizations
## AWS-Konto Typen, die IAM Identity Center aktivieren können
Um IAM Identity Center zu aktivieren, melden Sie sich je nach Instanztyp, den Sie erstellen möchten, mit einem der folgenden Anmeldeinformationen an: AWS-Managementkonsole
+ **Ihr AWS Organizations Verwaltungskonto (empfohlen)** — Erforderlich, um eine [Organisationsinstanz](organization-instances-identity-center.md) von IAM Identity Center zu erstellen. Verwenden Sie eine Organisationsinstanz für Berechtigungen für mehrere Konten und Anwendungszuweisungen im gesamten Unternehmen.
+ **Ihr AWS Organizations Mitgliedskonto** — Wird verwendet, um eine [Kontoinstanz](account-instances-identity-center.md) von IAM Identity Center zu erstellen, um Anwendungszuweisungen innerhalb dieses Mitgliedskontos zu ermöglichen. In einer Organisation können ein oder mehrere Konten mit einer Instanz auf Mitgliedsebene existieren.
+ **Eigenständig AWS-Konto** — Wird verwendet, um eine [Organisations- oder [Kontoinstanz](account-instances-identity-center.md)](organization-instances-identity-center.md) von IAM Identity Center zu erstellen. Die Standalone-Version wird AWS-Konto nicht von AWS Organizations verwaltet. Sie können einer eigenständigen Instanz nur eine Instanz von IAM Identity Center zuordnen AWS-Konto und diese Instanz für Anwendungszuweisungen innerhalb dieser eigenständigen AWS-Konto Instanz verwenden.
Verwenden Sie die folgende Tabelle, um die Funktionen zu vergleichen, die der Instanztyp bietet:
| Funktion | Instanz im AWS Organizations Verwaltungskonto (empfohlen) | Instanz in einem Mitgliedskonto | Instanz in einem eigenständigen System AWS-Konto |
| --- | --- | --- | --- |
| Benutzer verwalten | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja |
| AWS Zugriffsportal für Single-Sign-On-Zugriff auf Ihre AWS verwalteten Anwendungen | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja |
| OAuth 2.0 (OIDC), vom Kunden verwaltete Anwendungen | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja |
| Berechtigungen für mehrere Konten | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein |
| AWS Zugangsportal für Single-Sign-On-Zugriff auf Ihre AWS-Konten | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein |
| Von Kunden verwaltete SAML 2.0-Anwendungen | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein |
| Ein delegierter Administrator kann die Instanz verwalten | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein |
| Verschlüsselung im Ruhezustand mithilfe eines vom Kunden verwalteten KMS-Schlüssels | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein |
| IAM Identity Center wird in weitere Regionen repliziert | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-no.png) Nein |
Weitere Informationen zu AWS verwalteten Anwendungen und IAM Identity Center finden Sie unter. [AWS verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können](awsapps-that-work-with-identity-center.md)
**Topics**
+ [AWS-Konto Typen, die IAM Identity Center aktivieren können](#identity-center-instances-account-types)
+ [Organisationsinstanzen von IAM Identity Center](organization-instances-identity-center.md)
+ [Konto-Instances von IAM Identity Center.](account-instances-identity-center.md)
+ [Löschen Sie Ihre IAM Identity Center-Instanz](delete-config.md)
# Organisationsinstanzen von IAM Identity Center
Wenn Sie IAM Identity Center in Verbindung mit aktivieren AWS Organizations, erstellen Sie eine Organisationsinstanz von IAM Identity Center. Ihre Organisations-Instance muss in Ihrem Verwaltungskonto aktiviert sein. Sie können den Zugriff von Benutzern und Gruppen mit einer einzigen Organisations-Instance zentral verwalten. Sie können nur eine Organisationsinstanz für jedes Verwaltungskonto in haben. AWS Organizations
Wenn Sie IAM Identity Center vor dem 15. November 2023 aktiviert haben, verfügen Sie über eine Organisationsinstanz von IAM Identity Center.
Informationen zum Aktivieren einer Organisationsinstanz von IAM Identity Center finden Sie unter. [Um eine Instanz von IAM Identity Center zu aktivieren](enable-identity-center.md#to-enable-identity-center-instance)
## Wann sollte eine Organisationsinstanz verwendet werden
Eine Organisationsinstanz ist die primäre Methode zur Aktivierung von IAM Identity Center. In der Regel wird eine Organisationsinstanz empfohlen. Organisationsinstanzen bieten die folgenden Vorteile:
+ **Support für alle Funktionen von IAM Identity Center** — einschließlich der Verwaltung von Berechtigungen für mehrere Personen AWS-Konten in Ihrem Unternehmen, der Zuweisung von Zugriff auf vom Kunden verwaltete Anwendungen und der Replikation in mehreren Regionen.
+ **Reduzierung der Anzahl der Verwaltungspunkte** — Eine Organisationsinstanz hat einen einzigen Verwaltungspunkt, das Verwaltungskonto. Wir empfehlen, eine Organisationsinstanz anstelle einer Kontoinstanz zu aktivieren, um die Anzahl der Verwaltungspunkte zu reduzieren.
+ **Zentrale Steuerung der Erstellung von Kontoinstanzen** — Sie können steuern, ob Kontoinstanzen von Mitgliedskonten in Ihrer Organisation erstellt werden können, solange Sie in Ihrer Organisation keine Instanz von IAM Identity Center in einer Opt-in-Region bereitgestellt haben (AWS-Region die standardmäßig deaktiviert ist).
Anweisungen zur Aktivierung einer Organisationsinstanz von IAM Identity Center finden Sie unter. [Um eine Instanz von IAM Identity Center zu aktivieren](enable-identity-center.md#to-enable-identity-center-instance)
# Konto-Instances von IAM Identity Center.
Mit einer Kontoinstanz von IAM Identity Center können Sie unterstützte AWS verwaltete Anwendungen und OIDC-basierte, vom Kunden verwaltete Anwendungen bereitstellen. Kontoinstanzen unterstützen die isolierte Bereitstellung von Anwendungen in einer einzigen AWS-Konto Lösung und nutzen dabei die Funktionen des IAM Identity Center für Personalidentität und Zugriff auf das IAM Identity Center.
Kontoinstanzen sind an ein einzelnes Konto gebunden AWS-Konto und werden nur zur Verwaltung des Benutzer- und Gruppenzugriffs auf unterstützte Anwendungen im selben Konto und verwendet. AWS-Region Sie sind auf eine Kontoinstanz pro Konto beschränkt AWS-Konto. Sie können eine Kontoinstanz aus einer der folgenden Optionen erstellen: einem Mitgliedskonto in AWS Organizations oder einem eigenständigen Konto AWS-Konto , das nicht von verwaltet wird AWS Organizations.
Anweisungen zur Aktivierung einer Kontoinstanz von IAM Identity Center finden Sie unter [Um eine Instanz von IAM Identity Center zu aktivieren](enable-identity-center.md#to-enable-identity-center-instance) und wählen Sie den Tab **Konto** aus.
## Wann sollte eine Kontoinstanz verwendet werden
In den meisten Fällen wird eine [Organisationsinstanz](organization-instances-identity-center.md) empfohlen. Verwenden Sie Kontoinstanzen nur, wenn eines der folgenden Szenarien zutrifft:
+ Sie möchten eine temporäre Testversion einer unterstützten AWS verwalteten Anwendung ausführen, um festzustellen, ob die Anwendung Ihren Geschäftsanforderungen entspricht.
+ Sie haben nicht vor, IAM Identity Center in Ihrem Unternehmen einzuführen, möchten aber eine oder mehrere AWS verwaltete Anwendungen unterstützen.
+ Sie haben eine Organisationsinstanz von IAM Identity Center, möchten aber eine unterstützte AWS verwaltete Anwendung für eine isolierte Gruppe von Benutzern bereitstellen, die sich von den Benutzern in Ihrer Organisationsinstanz unterscheiden.
+ Sie haben keine Kontrolle über die AWS Organisation, in der Sie tätig sind. Beispielsweise kontrolliert ein Dritter die AWS Organisation, die Ihre verwaltet AWS-Konten.
**Wichtig**
Wenn Sie planen, IAM Identity Center zur Unterstützung von Anwendungen in mehreren Konten zu verwenden, verwenden Sie eine Organisationsinstanz. Kontoinstanzen unterstützen diesen Anwendungsfall nicht.
## AWS verwaltete Anwendungen, die Kontoinstanzen unterstützen
Erfahren [AWS verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können](awsapps-that-work-with-identity-center.md) Sie, welche AWS verwalteten Anwendungen Kontoinstanzen von IAM Identity Center unterstützen. Überprüfen Sie die Verfügbarkeit der Kontoinstanzerstellung mit Ihrer AWS verwalteten Anwendung.
## Verfügbarkeitsbeschränkungen für Mitgliedskonten
Um Kontoinstanzen von IAM Identity Center in AWS Organizations Mitgliedskonten bereitzustellen, muss eine der folgenden Bedingungen erfüllt sein:
+ In Ihrer Organisation gibt es keine Organisationsinstanz von IAM Identity Center.
+ In Ihrer Organisation gibt es eine Organisationsinstanz von IAM Identity Center, und der Instanzadministrator genehmigt die Erstellung von Kontoinstanzen von IAM Identity Center (für Organisationsinstanzen, die nach dem 15. November 2023 erstellt wurden).
+ In Ihrer Organisation gibt es eine Organisationsinstanz von IAM Identity Center, und der Instanzadministrator hat die manuelle Erstellung von Kontoinstanzen durch Mitgliedskonten in der Organisation aktiviert (für Organisationsinstanzen, die vor dem 15. November 2023 erstellt wurden). Detaillierte Anweisungen finden Sie unter [Erlauben Sie die Erstellung von Kontoinstanzen in Mitgliedskonten](enable-account-instance-console.md).
Wenn eine der oben genannten Bedingungen erfüllt ist, müssen alle der folgenden Bedingungen erfüllt sein:
+ Ihr Administrator hat keine [Service Control-Richtlinie](control-account-instance.md) erstellt, die verhindert, dass Mitgliedskonten Kontoinstanzen erstellen.
+ Sie haben noch keine Instanz von IAM Identity Center in demselben Konto, unabhängig von AWS-Region.
+ Sie arbeiten in einem Land, in AWS-Region dem IAM Identity Center verfügbar ist. Informationen zu Regionen finden Sie unter[Datenspeicherung und Betrieb der Region IAM Identity Center](regions.md).
## Überlegungen zur Kontoinstanz
Eine Kontoinstanz ist für spezielle Anwendungsfälle konzipiert und bietet eine Teilmenge der Funktionen, die einer Organisationsinstanz zur Verfügung stehen. Beachten Sie Folgendes, bevor Sie eine Kontoinstanz erstellen:
+ Kontoinstanzen unterstützen keine Berechtigungssätze und unterstützen daher auch keinen Zugriff auf AWS-Konten.
+ Sie können eine Kontoinstanz nicht in eine Organisationsinstanz konvertieren oder zusammenführen.
+ Nur ausgewählte [AWS verwaltete Anwendungen](awsapps-that-work-with-identity-center.md) unterstützen Kontoinstanzen.
+ Verwenden Sie Kontoinstanzen für isolierte Benutzer, die Anwendungen nur in einem einzigen Konto und für die gesamte Lebensdauer der verwendeten Anwendungen verwenden.
+ Anwendungen, die mit einer Kontoinstanz verknüpft sind, müssen an die Kontoinstanz angehängt bleiben, bis Sie die Anwendung und ihre Ressourcen löschen.
+ Eine Kontoinstanz muss dort verbleiben AWS-Konto , wo sie erstellt wurde.
# Erlauben Sie die Erstellung von Kontoinstanzen in Mitgliedskonten
Wenn Sie IAM Identity Center vor dem 15. November 2023 aktiviert haben, haben Sie eine [Organisationsinstanz](organization-instances-identity-center.md) von IAM Identity Center, bei der die Möglichkeit, dass Mitgliedskonten Kontoinstanzen erstellen können, standardmäßig deaktiviert ist. Sie können wählen, ob Ihre Mitgliedskonten Kontoinstanzen erstellen können, indem Sie die Kontoinstanzfunktion in der IAM Identity Center-Konsole aktivieren.
**Um die Erstellung von Kontoinstanzen durch Mitgliedskonten in Ihrer Organisation zu ermöglichen**
**Wichtig**
Die Aktivierung von Kontoinstanzen von IAM Identity Center für Mitgliedskonten ist ein einmaliger Vorgang. Das bedeutet, dass dieser Vorgang nicht rückgängig gemacht werden kann. Nach der Aktivierung können Sie die Erstellung von Kontoinstanzen einschränken, indem Sie eine Service Control Policy (SCP) erstellen. Anweisungen finden Sie unter [Steuern der Erstellung von Kontoinstanzen mit Services Control-Richtlinien](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html).
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** und dann die Registerkarte **Verwaltung** aus.
1. Wählen Sie im Abschnitt **Kontoinstanzen von IAM Identity Center** die Option **Kontoinstanzen von IAM Identity Center aktivieren** aus.
1. **Bestätigen Sie im Dialogfeld **Kontoinstanzen von IAM Identity Center aktivieren**, dass Sie Mitgliedskonten in Ihrer Organisation die Erstellung von Kontoinstanzen ermöglichen möchten, indem Sie Aktivieren wählen.**
# Verwenden Sie Service Control-Richtlinien, um die Erstellung von Kontoinstanzen zu steuern
Ob Mitgliedskonten Kontoinstanzen erstellen können, hängt davon ab, wann Sie IAM Identity Center aktiviert haben:
+ **Vor November 2023** — Sie müssen die [Erstellung von Kontoinstanzen in Mitgliedskonten zulassen](enable-account-instance-console.md). Diese Aktion kann nicht rückgängig gemacht werden.
+ **Nach dem 15. November 2023** — Mitgliedskonten können standardmäßig Kontoinstanzen erstellen.
In beiden Fällen können Sie Service Control Policies (SCPs) verwenden, um:
+ Verhindern Sie, dass alle Mitgliedskonten Kontoinstanzen erstellen.
+ Erlauben Sie nur bestimmten Mitgliedskonten, Kontoinstanzen zu erstellen.
## Kontoinstanzen verhindern
Gehen Sie wie folgt vor, um einen SCP zu generieren, der verhindert, dass Mitgliedskonten Kontoinstanzen von IAM Identity Center erstellen.
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie auf dem **Dashboard** im Bereich **Zentrale Verwaltung** die Schaltfläche **Kontoinstanzen verhindern**.
1. Im Dialogfeld **SCP anhängen, um die Erstellung neuer Kontoinstanzen zu verhindern**, wird ein SCP für Sie bereitgestellt. Kopieren Sie das SCP und wählen Sie die Dashboard-Schaltfläche **Gehe zu SCP**. Sie werden zur [AWS Organizations Konsole](https://console.aws.amazon.com/organizations/v2) weitergeleitet, um das SCP zu erstellen oder es als Statement an ein bestehendes SCP anzuhängen. SCPs sind ein Feature von. AWS Organizations*Anweisungen zum Anhängen eines SCP finden Sie im Benutzerhandbuch unter [Dienststeuerungsrichtlinien anhängen und trennen](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html).AWS Organizations *
## Beschränken Sie Kontoinstanzen
Anstatt die Erstellung aller Kontoinstanzen zu verhindern, verbietet diese Richtlinie jeden Versuch, eine Kontoinstanz von IAM Identity Center für alle zu erstellen, AWS-Konten mit Ausnahme der *""* explizit im Platzhalter aufgeführten.
**Example : Richtlinie zur Beschränkung der Erstellung von Kontoinstanzen ablehnen**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ Ersetzen Sie [*""*] durch die tatsächliche (n) AWS-Konto ID (s), denen Sie die Erstellung einer Kontoinstanz von IAM Identity Center erlauben möchten.
+ Sie können mehrere zulässige Konten IDs im Array-Format auflisten: [*"111122223333", "444455556666"*].
+ Fügen Sie diese Richtlinie dem SCP Ihrer Organisation bei, um eine zentrale Kontrolle über die Erstellung von IAM Identity Center-Kontoinstanzen durchzusetzen.
*Anweisungen zum Anhängen eines SCP finden Sie im Benutzerhandbuch unter [Dienststeuerungsrichtlinien anhängen und trennen](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html).AWS Organizations *
# Löschen Sie Ihre IAM Identity Center-Instanz
Wenn eine IAM Identity Center-Instanz gelöscht wird, werden alle Daten in dieser Instanz gelöscht und können nicht wiederhergestellt werden. In der folgenden Tabelle wird beschrieben, welche Daten basierend auf dem in IAM Identity Center konfigurierten Verzeichnistyp gelöscht werden.
| Welche Daten werden gelöscht | Verbundenes Verzeichnis — AWS Managed Microsoft AD, AD Connector oder externer Identitätsanbieter | IAM Identity Center-Identitätsspeicher |
| --- | --- | --- |
| Alle Berechtigungssätze, für die Sie konfiguriert haben AWS-Konten | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja |
| Alle Anwendungen, die Sie in IAM Identity Center konfiguriert haben | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja |
| Alle Benutzerzuweisungen, für die Sie konfiguriert haben, AWS-Konten und alle Anwendungen | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja |
| Alle Benutzer und Gruppen im Verzeichnis oder Speicher | N/A | ![\[Yes\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/icon-yes.png) Ja |
Wenn Sie Ihre IAM Identity Center-Instanz in weitere Regionen repliziert haben, müssen Sie diese Regionen entfernen, bevor Sie die Instanz löschen.
Gehen Sie wie folgt vor, um Ihre IAM Identity Center-Instanz zu löschen.
**Um Ihre IAM Identity Center-Instanz zu löschen**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus.
1. Wählen Sie auf der Seite **Einstellungen** die Registerkarte **Verwaltung** aus.
1. Wählen **Sie im Abschnitt „IAM Identity Center-Konfiguration** löschen“ die Option **Löschen** aus.
1. Aktivieren **Sie im Dialogfeld „IAM Identity Center-Konfiguration löschen**“ jedes Kontrollkästchen, um zu bestätigen, dass Sie damit einverstanden sind, dass Ihre Daten gelöscht werden. **Geben Sie Ihre IAM Identity Center-Instanz in das Textfeld ein und wählen Sie dann Bestätigen.**