Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Voraussetzungen und Überlegungen zu IAM Identity Center
Sie können IAM Identity Center nur für den Zugriff auf AWS verwaltete Anwendungen, AWS-Konten nur oder für beides verwenden. Wenn Sie den IAM-Verbund zur Verwaltung des Zugriffs auf verwenden AWS-Konten, können Sie dies weiterhin tun und gleichzeitig IAM Identity Center für den Anwendungszugriff verwenden.
Bevor Sie IAM Identity Center aktivieren, sollten Sie Folgendes beachten:
+ AWS Region
Sie aktivieren IAM Identity Center zunächst in einer einzelnen, [unterstützten](regions.md) Region für jede Instanz von IAM Identity Center. Wenn Sie IAM Identity Center für den Single-Sign-On-Zugriff auf AWS Konten verwenden möchten, muss die Region für alle Benutzer in Ihrer Organisation zugänglich sein. Wenn Sie planen, IAM Identity Center für den Anwendungszugriff zu verwenden, beachten Sie, dass einige AWS verwaltete Anwendungen, wie Amazon SageMaker AI, nur in den Regionen ausgeführt werden können, die sie unterstützen. Außerdem muss IAM Identity Center für die meisten AWS verwalteten Anwendungen in derselben Region wie die Anwendung verfügbar sein. Dies kann erreicht werden, indem sie sich in derselben Region befinden, oder, sofern dies unterstützt wird, indem die IAM Identity Center-Instanz in die gewünschte Bereitstellungsregion einer verwalteten Anwendung repliziert wird. AWS Weitere Informationen finden Sie unter [Überlegungen zur Auswahl eines AWS-Region](identity-center-region-considerations.md).
+ Nur Anwendungszugriff
Sie können IAM Identity Center nur für den Benutzerzugriff auf Anwendungen wie Kiro verwenden, indem Sie Ihren vorhandenen Identitätsanbieter verwenden. Weitere Informationen finden Sie unter [IAM Identity Center nur für den Benutzerzugriff auf Anwendungen verwenden](identity-center-for-apps-only.md).
**Anmerkung**
Der Zugriff auf Anwendungsressourcen wird unabhängig vom Anwendungseigentümer verwaltet.
+ Kontingent für IAM-Rollen
IAM Identity Center erstellt IAM-Rollen, um Benutzern Berechtigungen für Kontoressourcen zu erteilen. Weitere Informationen finden Sie unter [Von IAM Identity Center erstellte IAM-Rollen](identity-center-and-iam-roles.md).
+ IAM Identity Center und AWS Organizations
AWS Organizations wird für die Verwendung mit IAM Identity Center empfohlen, ist aber nicht erforderlich. Wenn Sie noch keine Organisation eingerichtet haben, müssen Sie das auch nicht tun. Wenn Sie IAM Identity Center bereits eingerichtet haben AWS Organizations und zu Ihrer Organisation hinzufügen möchten, stellen Sie sicher, dass alle AWS Organizations Funktionen aktiviert sind. Weitere Informationen finden Sie unter [IAM Identity Center und AWS Organizations](identity-center-and-orgs.md).
Die Webschnittstellen von IAM Identity Center, einschließlich des Zugriffsportals und der IAM Identity Center-Konsole, sind für den menschlichen Zugriff über unterstützte Webbrowser vorgesehen. Zu den kompatiblen Browsern gehören die neuesten drei Versionen von Microsoft Edge, Mozilla Firefox, Google Chrome und Apple Safari. Der Zugriff auf diese Endpunkte über nicht browserbasierte Pfade wird nicht unterstützt. Für den programmatischen Zugriff auf IAM Identity Center-Dienste empfehlen wir, die in den API-Referenzhandbüchern für IAM Identity Center und Identity Store APIs verfügbaren Dokumente zu verwenden.
# Überlegungen zur Auswahl eines AWS-Region
Sie können IAM Identity Center in einem einzigen, unterstützten System AWS-Region Ihrer Wahl aktivieren, das Benutzern weltweit zur Verfügung steht. Diese globale Verfügbarkeit erleichtert Ihnen die Konfiguration des Benutzerzugriffs auf mehrere AWS-Konten Anwendungen. Im Folgenden finden Sie wichtige Überlegungen zur Auswahl eines AWS-Region.
+ **Geografischer Standort Ihrer Benutzer** — Wenn Sie eine Region auswählen, die der Mehrheit Ihrer Endbenutzer geografisch am nächsten liegt, haben diese eine geringere Latenz beim Zugriff auf das AWS Zugriffsportal und AWS verwaltete Anwendungen wie Amazon SageMaker AI.
+ **Opt-in-Regionen (Regionen, die standardmäßig deaktiviert sind)** — Eine Opt-in-Region ist eine Region AWS-Region , die standardmäßig deaktiviert ist. Um eine Opt-in-Region zu verwenden, müssen Sie sie aktivieren. Weitere Informationen finden Sie unter [Verwaltung des IAM Identity Center in einer Opt-in-Region](regions.md#manually-enabled-regions).
+ **IAM Identity Center in weitere Regionen replizieren** — Wenn Sie planen, IAM Identity Center in weitere Regionen zu replizieren, müssen Sie eine Region auswählen AWS-Regionen, die standardmäßig aktiviert ist. Weitere Informationen finden Sie unter [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md).
+ **Auswahl der Bereitstellungsregionen für AWS verwaltete Anwendungen** — AWS verwaltete Anwendungen können nur in den Regionen ausgeführt werden, AWS-Regionen in denen sie verfügbar sind. Viele AWS verwaltete Anwendungen können auch nur in einer Region betrieben werden, in der IAM Identity Center aktiviert oder repliziert ist (primäre oder zusätzliche Region). Um zu überprüfen, ob Ihre IAM Identity Center-Instanz die Replikation in weitere Regionen unterstützt, finden Sie unter. [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md) Wenn Replikation keine Option ist, sollten Sie in Erwägung ziehen, IAM Identity Center in der Region zu aktivieren, in der Sie AWS verwaltete Anwendungen verwenden möchten.
+ **Digitale Souveränität** — Vorschriften zur digitalen Souveränität oder Unternehmensrichtlinien können den Einsatz einer bestimmten AWS-Region Technologie vorschreiben. Wenden Sie sich an die Rechtsabteilung Ihres Unternehmens.
+ **Identitätsquelle** — Wenn Sie Ihr selbstverwaltetes Verzeichnis in [Active Directory (AD)](connectonpremad.md) als Identitätsquelle verwenden [AWS Managed Microsoft AD](connectawsad.md), muss dessen Heimatregion mit der Region übereinstimmen, AWS-Region in der Sie IAM Identity Center aktiviert haben.
+ **Regionsübergreifende E-Mails mit Amazon Simple Email Service** — In einigen Regionen ruft IAM Identity Center möglicherweise [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) in einer anderen Region an, um E-Mails zu senden. Bei diesen regionsübergreifenden Anrufen sendet IAM Identity Center bestimmte Benutzerattribute an die andere Region. Weitere Informationen finden Sie unter [Regionsübergreifende E-Mails mit Amazon SES](regions.md#cross-region-calls).
+ **AWS Control Tower**— Wenn Sie eine Organisationsinstanz von IAM Identity Center aus aktivieren AWS Control Tower, wird die Instanz in derselben Region wie die AWS Control Tower landing zone erstellt.
**Topics**
+ [Datenspeicherung und Betrieb der Region IAM Identity Center](regions.md)
+ [Wechseln AWS-Regionen](switching-regions.md)
+ [Deaktivierung und AWS-Region wo IAM Identity Center aktiviert ist](disabling-region-with-identity-center.md)
# Datenspeicherung und Betrieb der Region IAM Identity Center
Erfahren Sie, wie IAM Identity Center die Datenspeicherung und den Betrieb von Daten in allen Bereichen handhabt. AWS-Regionen
## Erfahren Sie, wie IAM Identity Center Daten speichert
Wenn Sie IAM Identity Center aktivieren, werden alle Daten, die Sie in IAM Identity Center konfigurieren, in der Region gespeichert, in der Sie es aktiviert haben. Zu diesen Daten gehören Verzeichniskonfigurationen, Berechtigungssätze, Anwendungsinstanzen und Benutzerzuweisungen zu AWS-Konto Anwendungen. Wenn Sie den IAM Identity Center-Identitätsspeicher verwenden, werden alle Benutzer und Gruppen, die Sie in IAM Identity Center erstellen, ebenfalls in derselben Region gespeichert. Wenn Sie Ihre IAM Identity Center-Instanz in weitere Regionen replizieren, repliziert IAM Identity Center automatisch Benutzer, Gruppen, Berechtigungssätze und deren Zuweisungen sowie andere Metadaten und Konfigurationen in diese Regionen.
## Regionsübergreifende E-Mails mit Amazon SES
IAM Identity Center verwendet [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html), um E-Mails an Endbenutzer zu senden, wenn diese versuchen, sich mit einem Einmalpasswort (OTP) als zweitem Authentifizierungsfaktor anzumelden. Diese E-Mails werden auch für bestimmte Ereignisse zur Identitäts- und Anmeldeinformationsverwaltung gesendet, z. B. wenn der Benutzer aufgefordert wird, ein erstes Passwort einzurichten, eine E-Mail-Adresse zu verifizieren und sein Passwort zurückzusetzen. Amazon SES ist in einer Teilmenge der von AWS-Regionen IAM Identity Center unterstützten Optionen verfügbar.
IAM Identity Center ruft lokale Amazon SES-Endpunkte auf, wenn Amazon SES lokal in einem verfügbar ist. AWS-Region Wenn Amazon SES nicht lokal verfügbar ist, ruft IAM Identity Center Amazon SES SES-Endpunkte auf einem anderen Weg auf AWS-Region, wie in der folgenden Tabelle angegeben.
| Regionalcode für das IAM Identity Center | Name der Region für das IAM Identity Center | Amazon SES SES-Regionalcode | Name der Amazon SES SES-Region |
| --- | --- | --- | --- |
| ap-east-1 | Asien-Pazifik (Hongkong) | ap-northeast-2 | Asien-Pazifik (Seoul) |
| ap-east-2 | Asien-Pazifik (Taipeh) | ap-northeast-1 | Asien-Pazifik (Tokio) |
| ap-south-2 | Asien-Pazifik (Hyderabad) | ap-south-1 | Asien-Pazifik (Mumbai) |
| ap-southeast-4 | Asien-Pazifik (Melbourne) | ap-southeast-2 | Asien-Pazifik (Sydney) |
| ap-southeast-5 | Asien-Pazifik (Malaysia) | ap-southeast-1 | Asien-Pazifik (Singapur) |
| ap-southeast-6 | Asien-Pazifik (Neuseeland) | ap-southeast-2 | Asien-Pazifik (Sydney) |
| ap-southeast-7 | Asien-Pazifik (Thailand) | ap-northeast-3 | Asien-Pazifik (Osaka) |
| ca-west-1 | Kanada West (Calgary) | ca-central-1 | Kanada (Zentral) |
| eu-south-2 | Europa (Spain) | eu-west-3 | Europa (Paris) |
| eu-central-2 | Europa (Zürich) | eu-central-1 | Europa (Frankfurt) |
| mx-central-1 | Mexiko (Zentral) | us-east-2 | USA Ost (Ohio) |
| me-central-1 | Naher Osten (VAE) | eu-central-1 | Europa (Frankfurt) |
| us-gov-east-1 | AWS GovCloud (USA-Ost) | us-gov-west-1 | AWS GovCloud (US-West) |
Bei diesen regionsübergreifenden Aufrufen sendet IAM Identity Center möglicherweise die folgenden Benutzerattribute:
+ E-Mail-Adresse
+ Vorname
+ Nachname
+ Konto in AWS Organizations
+ AWS Portal-URL aufrufen
+ Username
+ Verzeichnis-ID
+ Benutzer-ID
## Verwaltung des IAM Identity Center in einer Opt-in-Region (Region, die standardmäßig deaktiviert ist)
Die meisten AWS-Regionen sind standardmäßig für den Betrieb in allen AWS Diensten aktiviert, aber Sie müssen die folgenden [Opt-in-Regionen](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion) aktivieren, wenn Sie IAM Identity Center verwenden möchten:
+ Afrika (Kapstadt)
+ Asien-Pazifik (Hongkong)
+ Asien-Pazifik (Taipeh)
+ Asien-Pazifik (Hyderabad)
+ Asien-Pazifik (Jakarta)
+ Asien-Pazifik (Melbourne)
+ Asien-Pazifik (Malaysia)
+ Asien-Pazifik (Neuseeland)
+ Asien-Pazifik (Thailand)
+ Kanada West (Calgary)
+ Europa (Milan)
+ Europa (Spain)
+ Europa (Zürich)
+ Israel (Tel Aviv)
+ Mexiko (Zentral)
+ Middle East (Bahrain)
+ Naher Osten (VAE)
Wenn Sie IAM Identity Center in einer Opt-in-Region bereitstellen, müssen Sie diese Region in allen Konten aktivieren, für die Sie den Zugriff auf IAM Identity Center verwalten möchten. Alle Konten benötigen diese Konfiguration, unabhängig davon, ob Sie Ressourcen in dieser Region erstellen oder nicht. Sie können eine Region für die aktuellen Konten in Ihrer Organisation aktivieren und müssen diese Aktion wiederholen, wenn Sie neue Konten hinzufügen. Anweisungen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Aktivieren oder Deaktivieren einer Region in Ihrer Organisation](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization). Um diese zusätzlichen Schritte nicht wiederholen zu müssen, können Sie Ihr IAM Identity Center in einer [Region bereitstellen, die standardmäßig aktiviert ist](#regions-enabled-by-default).
**Anmerkung**
Ihr AWS Mitgliedskonto muss der gleichen Region angehören wie die Opt-in-Region, in der sich Ihre IAM Identity Center-Instanz befindet, damit Sie über das Zugriffsportal auf das AWS Mitgliedskonto zugreifen können. AWS
**Metadaten, die in Opt-in-Regionen gespeichert sind**
Wenn Sie IAM Identity Center für ein Verwaltungskonto in einem Opt-In aktivieren AWS-Region, werden die folgenden IAM Identity Center-Metadaten für alle Mitgliedskonten in der Region gespeichert.
+ Konto-ID
+ Account name (Kontoname)
+ Konto-E-Mail
+ Amazon-Ressourcennamen (ARNs) der IAM-Rollen, die IAM Identity Center im Mitgliedskonto erstellt
## AWS-Regionen die standardmäßig aktiviert sind
Die folgenden Regionen sind standardmäßig aktiviert, und Sie können IAM Identity Center in diesen Regionen aktivieren.
+ US East (Ohio)
+ USA Ost (Nord-Virginia)
+ USA West (Oregon)
+ USA West (Nordkalifornien)
+ Europa (Paris)
+ Südamerika (São Paulo)
+ Asien-Pazifik (Mumbai)
+ Europa (Stockholm)
+ Asia Pacific (Seoul)
+ Asien-Pazifik (Tokio)
+ Europa (Irland)
+ Europa (Frankfurt)
+ Europa (London)
+ Asien-Pazifik (Singapur)
+ Asien-Pazifik (Sydney)
+ Kanada (Zentral)
+ Asien-Pazifik (Osaka)
# Wechseln AWS-Regionen
Wir empfehlen, dass Sie IAM Identity Center in einer Region installieren, die Sie weiterhin für Benutzer verfügbar halten möchten, und nicht in einer Region, die Sie möglicherweise deaktivieren müssen. Weitere Informationen finden Sie unter [Überlegungen zur Auswahl eines AWS-Region](identity-center-region-considerations.md).
Sie können Ihre IAM Identity Center-Region nur wechseln, indem [Sie Ihre aktuelle IAM Identity Center-Instanz löschen und eine Instanz](delete-config.md) in einer anderen Region erstellen. Wenn Sie bereits eine AWS verwaltete Anwendung mit Ihrer vorhandenen IAM Identity Center-Instanz aktiviert haben, deaktivieren Sie die Anwendung, bevor Sie IAM Identity Center löschen. Anweisungen zur Deaktivierung AWS verwalteter Anwendungen finden Sie unter. [Deaktivierung einer AWS verwalteten Anwendung](awsapps-remove.md)
**Anmerkung**
Wenn Sie erwägen, Ihre IAM Identity Center-Region zu wechseln, um die Bereitstellung einer AWS verwalteten Anwendung in einer anderen Region zu ermöglichen, sollten Sie stattdessen Ihre IAM Identity Center-Instanz in diese Region replizieren. Weitere Informationen finden Sie unter [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md).
**Überlegungen zur Konfiguration in der neuen Region**
Sie müssen Benutzer, Gruppen, Berechtigungssätze, Anwendungen und Zuweisungen in der neuen IAM Identity Center-Instanz neu erstellen. Sie können das IAM Identity Center-Konto und die Anwendungszuweisung verwenden [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html), um einen Snapshot Ihrer Konfiguration zu erstellen und diesen Snapshot dann verwenden, um Ihre Konfiguration in einer neuen Region neu aufzubauen. Wenn Sie zu einer anderen Region wechseln, ändert sich auch die URL für das [AWS Zugriffsportal](using-the-portal.md), das Ihren Benutzern Single-Sign-On-Zugriff auf ihre Anwendungen AWS-Konten bietet. Möglicherweise müssen Sie auch einige IAM Identity Center-Konfigurationen über die Management Console Ihrer neuen Instanz neu erstellen.
# Deaktivierung und AWS-Region wo IAM Identity Center aktiviert ist
Wenn Sie einen deaktivieren, AWS-Region in dem IAM Identity Center installiert ist, ist IAM Identity Center ebenfalls deaktiviert. Nachdem IAM Identity Center in einer Region deaktiviert wurde, haben Benutzer in dieser Region keinen Single Sign-On-Zugriff auf Anwendungen. AWS-Konten
Um IAM Identity Center im [Opt-In](regions.md#manually-enabled-regions) wieder zu aktivieren AWS-Regionen, müssen Sie die Region erneut aktivieren. Da IAM Identity Center alle unterbrochenen Ereignisse erneut verarbeiten muss, kann die erneute Aktivierung von IAM Identity Center einige Zeit dauern.
**Anmerkung**
IAM Identity Center kann nur den Zugriff auf diejenigen verwalten, die für AWS-Konten die Verwendung in einem aktiviert sind. AWS-Region Um den Zugriff für alle Konten in Ihrer Organisation zu verwalten, aktivieren Sie IAM Identity Center im Verwaltungskonto eines Kontos, das automatisch für AWS-Region die Verwendung mit IAM Identity Center aktiviert wird.
*Weitere Informationen zur Aktivierung und Deaktivierung AWS-Regionen finden Sie AWS-Regionen in der AWS allgemeinen [Referenz unter Verwaltung](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html).*
# IAM Identity Center nur für den Benutzerzugriff auf Anwendungen verwenden
Sie können IAM Identity Center für den Benutzerzugriff auf Anwendungen wie Kiro oder beides verwenden. AWS-Konten Sie können Ihren vorhandenen Identitätsanbieter verbinden und Benutzer und Gruppen aus Ihrem Verzeichnis synchronisieren oder [Benutzer direkt in IAM Identity Center erstellen und verwalten](quick-start-default-idc.md). Informationen darüber, wie Sie Ihren vorhandenen Identitätsanbieter mit IAM Identity Center verbinden, finden Sie unter. [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md)
**Verwenden Sie IAM bereits für den Zugriff auf? AWS-Konten**
Sie müssen keine Änderungen an Ihren aktuellen AWS-Konto Workflows vornehmen, um IAM Identity Center für den Zugriff auf AWS verwaltete Anwendungen zu verwenden. Wenn Sie den [Verbund mit IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam) für den AWS-Konto Zugriff verwenden, können Ihre Benutzer weiterhin auf die gleiche AWS-Konten Weise zugreifen, wie sie es immer getan haben, und Sie können weiterhin Ihre vorhandenen Workflows verwenden, um diesen Zugriff zu verwalten.
# Von IAM Identity Center erstellte IAM-Rollen
Wenn Sie einem AWS Konto einen Benutzer zuweisen, erstellt IAM Identity Center IAM-Rollen, um Benutzern Berechtigungen für Ressourcen zu erteilen.
Wenn Sie einen Berechtigungssatz zuweisen, erstellt IAM Identity Center in jedem Konto die entsprechenden, vom IAM Identity Center kontrollierten IAM-Rollen und fügt diesen Rollen die im Berechtigungssatz angegebenen Richtlinien zu. IAM Identity Center verwaltet die Rolle und ermöglicht es den von Ihnen definierten autorisierten Benutzern, die Rolle über das Zugriffsportal oder zu übernehmen. AWS AWS CLI Wenn Sie den Berechtigungssatz ändern, stellt IAM Identity Center sicher, dass die entsprechenden IAM-Richtlinien und -Rollen entsprechend aktualisiert werden. Die Replikation Ihrer IAM Identity Center-Instanz in weitere Regionen hat keine Auswirkungen auf bestehende IAM-Rollen und es werden keine neuen IAM-Rollen erstellt.
**Anmerkung**
Berechtigungssätze werden nicht verwendet, um Anwendungen Berechtigungen zu erteilen.
Wenn Sie in Ihrem bereits IAM-Rollen konfiguriert haben, empfehlen wir Ihnen AWS-Konto, zu überprüfen, ob sich Ihr Konto dem Kontingent für IAM-Rollen nähert. Das Standardkontingent für IAM-Rollen pro Konto beträgt 1000 Rollen. Weitere Informationen finden Sie unter [IAM-Objektkontingente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities).
Wenn Sie sich dem Kontingent nähern, sollten Sie erwägen, eine Erhöhung des Kontingents zu beantragen. Andernfalls könnten Probleme mit IAM Identity Center auftreten, wenn Sie Berechtigungssätze für Konten bereitstellen, die das IAM-Rollenkontingent überschritten haben. Informationen dazu, wie Sie eine Kontingenterhöhung [beantragen können, finden Sie unter Eine Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) beantragen im *Service Quotas User Guide*.
**Anmerkung**
Wenn Sie die IAM-Rollen in einem Konto überprüfen, das bereits IAM Identity Center verwendet, fallen Ihnen möglicherweise Rollennamen auf, die mit beginnen. “AWSReservedSSO\$1” Dies sind die Rollen, die der IAM Identity Center-Dienst für das Konto erstellt hat. Sie stammen aus der Zuweisung eines Berechtigungssatzes für das Konto.
# IAM Identity Center und AWS Organizations
AWS Organizations wird für die Verwendung mit IAM Identity Center empfohlen, ist aber nicht erforderlich. Wenn Sie noch keine Organisation eingerichtet haben, müssen Sie das auch nicht tun. Wenn Sie IAM Identity Center aktivieren, wählen Sie aus, ob Sie den Dienst mit AWS Organizations aktivieren möchten. Wenn Sie eine Organisation einrichten, wird die Organisation, AWS-Konto die die Organisation einrichtet, zum Verwaltungskonto der Organisation. Der Root-Benutzer von AWS-Konto ist jetzt der Besitzer des Organisationsverwaltungskontos. Alle weiteren, die AWS-Konten Sie zu Ihrer Organisation einladen, sind Mitgliedskonten. Das Verwaltungskonto erstellt die Ressourcen, Organisationseinheiten und Richtlinien der Organisation, mit denen die Mitgliedskonten verwaltet werden. Berechtigungen werden vom Verwaltungskonto an Mitgliedskonten delegiert.
**Anmerkung**
Wir empfehlen, dass Sie IAM Identity Center mit aktivieren AWS Organizations, wodurch eine Organisationsinstanz von IAM Identity Center erstellt wird. Eine Organisationsinstanz ist unsere empfohlene bewährte Methode, da sie alle Funktionen von IAM Identity Center unterstützt und zentrale Verwaltungsfunktionen bietet. Weitere Informationen finden Sie unter [Organisationsinstanzen von IAM Identity Center](organization-instances-identity-center.md).
Wenn Sie IAM Identity Center bereits eingerichtet haben AWS Organizations und es Ihrer Organisation hinzufügen möchten, stellen Sie sicher, dass alle AWS Organizations Funktionen aktiviert sind. Wenn Sie eine Organisation erstellen, werden standardmäßig alle Funktionen aktiviert. Weitere Informationen finden Sie unter [Aktivieren aller Funktionen in Ihrer Organisation ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) im *AWS Organizations Benutzerhandbuch*.
Um eine Organisationsinstanz von IAM Identity Center zu aktivieren, müssen Sie sich beim anmelden, AWS-Managementkonsole indem Sie sich mit Ihrem AWS Organizations Verwaltungskonto als Benutzer mit Administratoranmeldedaten oder als Root-Benutzer anmelden (nicht empfohlen, sofern keine anderen Administratorbenutzer vorhanden sind). Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [AWS Organisation erstellen und verwalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html).
Wenn Sie mit Administratoranmeldedaten von einem AWS Organizations Mitgliedskonto aus angemeldet sind, können Sie eine Kontoinstanz von IAM Identity Center aktivieren. Kontoinstanzen haben eingeschränkte Funktionen und sind an ein einziges AWS Konto gebunden.