Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Activar IAM Identity Center
<a name="enable-identity-center"></a>

Cuando habilita el Centro de identidades de IAM, elige un tipo de AWS IAM Identity Center instancia para habilitarla. Una instancia de un servicio es una implementación única de un servicio en su AWS entorno. Hay dos tipos de instancias disponibles para IAM Identity Center: las instancias de organización y las instancias de cuenta. Los tipos de instancias que puede habilitar dependen del tipo de cuenta en la que haya iniciado sesión.

La siguiente lista identifica el tipo de instancias de IAM Identity Center que puede habilitar para cada tipo de Cuenta de AWS:
+ **Su cuenta AWS Organizations de administración (recomendada)**: necesaria para crear una [instancia organizativa](organization-instances-identity-center.md) del IAM Identity Center. Utilice una instancia de organización para los permisos de varias cuentas y las asignaciones de aplicaciones en toda la organización. Puede replicar este tipo de instancia en otras regiones para mejorar la resiliencia del acceso a las cuentas y la flexibilidad a la hora de elegir las regiones de despliegue de AWS aplicaciones.
+ **Su cuenta de AWS Organizations miembro**: utilícela para crear una [instancia de cuenta](account-instances-identity-center.md) del IAM Identity Center para permitir la asignación de solicitudes dentro de esa cuenta de miembro. En una organización pueden existir una o más cuentas con una instancia de nivel de miembro.
+ **Una instancia independiente Cuenta de AWS**: se utiliza para crear una instancia de [organización o una instancia](organization-instances-identity-center.md) de [cuenta](account-instances-identity-center.md) del IAM Identity Center. La versión independiente Cuenta de AWS no está gestionada por. AWS Organizations Solo puede asociar una instancia del IAM Identity Center a una instancia independiente Cuenta de AWS y utilizarla para las asignaciones de aplicaciones dentro de esa instancia independiente. Cuenta de AWS

**importante**  
La cuenta de administración de la organización puede controlar si [las cuentas de los miembros de la organización pueden crear instancias de cuentas de IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html) mediante una política de control de servicios.  
Si utiliza una cuenta de nivel gratuito, al crear una AWS organización, su cuenta se convierte automáticamente en un plan de pago con precios. pay-as-you-go Los créditos de la capa gratuita caducan inmediatamente. Para obtener más información, consulte [Capa gratuita de AWS FAQs](https://aws.amazon.com/free/free-tier-faqs/).

Para comparar las distintas capacidades que proporcionan los distintos tipos de instancias, consulte [Instancias de organización y cuenta de IAM Identity Center](identity-center-instances.md).

Antes de activar IAM Identity Center, le recomendamos que revise [Requisitos previos y consideraciones sobre el IAM Identity Center](identity-center-prerequisites.md).

## Para habilitar una instancia de cuenta de IAM Identity Center
<a name="to-enable-identity-center-instance"></a>

Elija la pestaña correspondiente al tipo de instancia de IAM Identity Center que desee habilitar, ya sea una instancia de organización o de cuenta:

------
#### [ Organization (recommended) ]

1. Realice una de estas operaciones para iniciar sesión en la Consola de administración de AWS.
   + **Nuevo para AWS (usuario root)**: inicia sesión como propietario de la cuenta; para ello, selecciona **Usuario root** e introduce tu dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.
   + Si **ya lo AWS utilizas de forma independiente Cuenta de AWS (credenciales de IAM)**: inicia sesión con tus credenciales de IAM con permisos administrativos.
   + **Ya lo estás usando AWS Organizations (credenciales de IAM)**: inicia sesión con las credenciales de tu cuenta de administración.

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. (Opcional) Si desea utilizar una clave KMS gestionada por el cliente para el cifrado en reposo en lugar de la clave AWS gestionada predeterminada, configure la clave gestionada por el cliente en la sección **Clave para cifrar los datos inactivos del IAM Identity Center**. Para obtener más información, consulta [Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center](identity-center-customer-managed-keys.md).
**importante**  
Realice este paso solo si ha configurado los permisos necesarios para usar la clave de KMS administrada por el cliente. Sin los permisos adecuados, este paso puede producir errores o interrumpir la administración y AWS las aplicaciones gestionadas del IAM Identity Center.

1. En **Activar el IAM Identity Center**, seleccione **Activar**.

1. En la página **Habilitar IAM Identity Center con AWS Organizations**, revise la información y, a continuación, seleccione **Habilitar** para completar el proceso. 
**nota**  
AWS Organizations solo puede habilitar el Centro de identidad de IAM en una sola AWS región. Tras activar IAM Identity Center, si necesita cambiar la región en la que está habilitado IAM Identity Center, debe [eliminar](delete-config.md) la instancia actual y crear una instancia en la otra región. 

Después de habilitar la instancia de organización, se recomienda hacer lo siguiente para terminar de configurar el entorno:
+ Confirme que utiliza el origen de identidad que eligió. Si ya tiene un origen de identidad, puede seguir utilizándolo. Para obtener más información, consulte [Confirme sus orígenes de identidad del IAM Identity Center](confirm-identity-source.md).
+ Registre una cuenta de miembro como administrador delegado. Para obtener más información, consulte [Administración delegada](delegated-admin.md).
+ El IAM Identity Center le proporciona un portal de acceso a los AWS recursos. Si filtra el acceso a AWS dominios o puntos de enlace URL específicos mediante una solución de filtrado de contenido web, como firewalls de última generación (NGFW) o Secure Web Gateways (SWG), consulte. [Actualice los firewalls y las puertas de enlace para permitir el acceso a Portal de acceso a AWS](enable-identity-center-portal-access.md)

------
#### [ Account ]

1. Realice una de estas operaciones para iniciar sesión en la Consola de administración de AWS.
   + **Nuevo para AWS (usuario root)**: inicie sesión como propietario de la cuenta; para ello, seleccione **Root** user e introduzca su dirección de correo electrónico. Cuenta de AWS En la siguiente página, escriba su contraseña.
   + Si **ya lo utilizas AWS (credenciales de IAM)**: inicia sesión con tus credenciales de IAM con permisos administrativos.
   + Si **ya las utiliza AWS Organizations (credenciales de IAM)**: inicie sesión con las credenciales administrativas de su cuenta de miembro.

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. **Si es la primera vez que utiliza una cuenta independiente AWS o la tiene Cuenta de AWS, en **Activar el centro de identidad de IAM**, seleccione Activar.**

   Aparecerá la página **Habilitar IAM Identity Center con AWS Organizations**. Esto no es obligatorio pero sí recomendable.

   Seleccione el enlace **Habilitar una instancia de cuenta de IAM Identity Center**.

1. Si es administrador de una cuenta de AWS Organizations miembro, en **Habilitar una instancia de cuenta del IAM Identity Center**, seleccione **Habilitar una** instancia de cuenta.

1. En la página **Habilitar una instancia de cuenta de IAM Identity Center**, revise la información y, *si lo desea*, añada las etiquetas que desee asociar a esta instancia de cuenta. A continuación, seleccione **Habilitar** para completar el proceso.
**nota**  
Si su AWS cuenta es miembro de una organización, es posible que haya restricciones a la hora de habilitar una instancia de cuenta del Centro de identidades de IAM.  
Si su organización habilitó IAM Identity Center antes del 15 de noviembre de 2023, la posibilidad de que las cuentas de miembro creen instancias de cuentas está deshabilitada de forma predeterminada y debe habilitarla la cuenta de administración de la organización.
Si su organización habilitó IAM Identity Center después del 15 de noviembre de 2023, la posibilidad de que las cuentas de miembro creen instancias de cuentas está habilitada de forma predeterminada. Sin embargo, las políticas de control de servicio se pueden utilizar para impedir la creación de instancias de cuenta de IAM Identity Center dentro de una organización. 
Para obtener más información, consulte [Permiso para la creación de instancias de cuentas en las cuentas de miembros](enable-account-instance-console.md) y [Uso de las políticas de control de servicios para controlar la creación de instancias de cuentas](control-account-instance.md).

------

# Confirme sus orígenes de identidad del IAM Identity Center
<a name="confirm-identity-source"></a>

Su origen de identidad en IAM Identity Center define dónde se administran sus usuarios y grupos. Después de habilitar IAM Identity Center, asegúrese de que utiliza el origen de identidad que eligió. Si ya tiene un origen de identidad, puede seguir utilizándolo. 

Si ya administra usuarios y grupos en Active Directory o en un IdP externo, le recomendamos que considere la posibilidad de conectar este origen de identidad al habilitar IAM Identity Center y elegir su origen de identidad. Esto debe hacerse antes de crear usuarios y grupos en el directorio predeterminado de Identity Center y de realizar cualquier asignación.

 Si ya administra usuarios y grupos en una fuente de identidad en IAM Identity Center, cambiar a un origen de identidad diferente podría eliminar todas las asignaciones de usuarios y grupos que configuró en IAM Identity Center. Si esto ocurre, todos los usuarios, incluido el usuario administrativo del Centro de identidades de IAM, perderán el acceso de inicio de sesión único a sus Cuentas de AWS aplicaciones. Para obtener más información, consulte [Consideraciones para cambiar la fuente de identidad](manage-your-identity-source-considerations.md).

**Para confirmar su fuente de identidad**

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon)

1. En la página del **panel**, debajo de la sección **Pasos de configuración recomendados**, seleccione **Confirme su origen de identidad**. Para acceder a esta página, también puede seleccionar **Configuración** y la pestaña **Origen de identidad**.

1. No tiene que realizar ninguna acción si desea conservar el origen de identidad asignado. Si prefiere cambiarlo, seleccione **Acciones** y, a continuación, seleccione **Cambiar el origen de identidad**.

Puede elegir una de las siguientes opciones como origen de identidad: 

**Directorio de ‬Identity Center**  
Cuando se activa IAM Identity Center por primera vez, se configura de manera automática con un directorio de Identity Center como fuente de identidad predeterminada. Si aún no utilizas otro proveedor de identidad externo, puedes empezar a crear tus usuarios y grupos y asignar su nivel de acceso a tus aplicaciones Cuentas de AWS y a las tuyas. Para ver un tutorial sobre el uso de este origen de identidad, consulte [Configuración del acceso de los usuarios con el directorio predeterminado de IAM Identity Center](quick-start-default-idc.md).

**Active Directory**  
Si ya está gestionando los usuarios y grupos de su AWS Managed Microsoft AD directorio mediante Directory Service o de su directorio autogestionadoActive Directory (AD), le recomendamos que conecte ese directorio al activar el Centro de identidades de IAM. No cree ningún usuario ni grupo en el directorio predeterminado de Identity Center. IAM Identity Center utiliza la conexión proporcionada por AWS Directory Service para sincronizar la información de usuarios, grupos y miembros del directorio de origen de Active Directory con el almacén de identidades de IAM Identity Center. Para obtener más información, consulte [Directorio Microsoft AD](manage-your-identity-source-ad.md).  
El Centro de Identidad de IAM no SAMBA4 admite Simple AD como fuente de identidad.

**Proveedor de identidades externo**  
Para los proveedores de identidad externos (IdPs), como Okta oMicrosoft Entra ID, puede utilizar el Centro de identidades de IAM para autenticar las identidades IdPs mediante el estándar del lenguaje de marcado de aserciones de seguridad (SAML) 2.0. El protocolo SAML no proporciona ninguna forma de consultar al IdP para obtener información sobre los usuarios y los grupos. Debe hacer que IAM Identity Center conozca a esos usuarios y grupos aprovisionándolos en IAM Identity Center. Puede realizar el aprovisionamiento automático (sincronización) de la información de usuarios y grupos desde su IdP a IAM Identity Center mediante el protocolo del sistema de administración de identidades entre dominios (SCIM) v2.0 si su IdP admite SCIM. De lo contrario, puede aprovisionar manualmente los usuarios y grupos; para ello, ingrese manualmente los nombres de usuario, la dirección de correo electrónico y los grupos en IAM Identity Center.  
Para obtener instrucciones detalladas sobre cómo configurar su fuente de identidad, consulte [Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md).  
Si tiene previsto utilizar un proveedor de identidades externo, tenga en cuenta que el IdP externo, no IAM Identity Center, administra la configuración de la autenticación multifactor (MFA). Los proveedores de identidad externos no admiten la MFA en el IAM Identity Center. Para obtener más información, consulte [Solicitar MFA a los usuarios](mfa-getting-started.md).

**nota**  
Si planea replicar el Centro de identidades de IAM en otras regiones, tendrá que configurar un proveedor de identidad externo. Para obtener más información, incluidos los requisitos previos, consulte. [Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md)

# Actualice los firewalls y las puertas de enlace para permitir el acceso a Portal de acceso a AWS
<a name="enable-identity-center-portal-access"></a>

El portal de AWS acceso proporciona a los usuarios un acceso de inicio de sesión único a todas sus aplicaciones en la nube Cuentas de AWS y a las más utilizadas, como Office 365, Concur, Salesforce y muchas más. Para lanzar varias aplicaciones rápidamente, basta con elegir el icono Cuenta de AWS o la aplicación en el portal. 

**nota**  
AWS las aplicaciones gestionadas se integran con el Centro de Identidad de IAM y lo utilizan para los servicios de autenticación y directorio, pero es posible que no utilicen el portal de AWS acceso para acceder a las aplicaciones.

Si filtra el acceso a AWS dominios o puntos de enlace de URL específicos mediante una solución de filtrado de contenido web, como firewalls de última generación (NGFW) o Secure Web Gateways (SWG), debe permitir incluir en la lista los dominios y puntos de enlace de URL asociados al portal de acceso. AWS 

La siguiente lista proporciona los dominios IPv4 y puntos de enlace URL de doble pila que debe añadir a las listas de permitidos de su solución de filtrado de contenido web.

**IPv4 lista de permitidos**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com `
+ `*.sso-portal.[Region].amazonaws.com`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`

**Lista de permitidos de doble pila**
+ `[Identity Center instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].api.aws`
+ `sso.[Region].api.aws`
+ `portal.sso.[Region].api.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

**Lista combinada de permitidos (IPv4 \$1 pila doble con compatibilidad con versiones anteriores)**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `[Identity Centers instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `oidc.[Region].api.aws`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com`
+ `sso.[Region].api.aws`
+ `*.sso-portal.[Region].amazonaws.com`
+ `portal.sso.[Region].api.aws`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

## Consideraciones a la hora de permitir la inclusión de dominios y puntos de conexión de URL
<a name="allowlist-considerations"></a>

Además de los requisitos de la lista de permitidos para el portal de AWS acceso, es posible que los demás servicios y aplicaciones que utilice exijan la inclusión de dominios en la lista de dominios permitidos. 
+ Para acceder a Cuentas de AWS la consola del Consola de administración de AWS IAM Identity Center y a ella desde su portal de AWS acceso, debe permitir incluir dominios adicionales en la lista. Consulte [Solución de problemas](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/troubleshooting.html) en la *Guía de introducción para Consola de administración de AWS obtener* una lista de Consola de administración de AWS dominios.
+ Para acceder a las aplicaciones AWS gestionadas desde su portal de AWS acceso, debe permitir incluir sus dominios respectivos en una lista. Consulte la documentación de servicio correspondiente para obtener orientación. 
+ Si utilizas software externo, como el externo IdPs (por ejemplo, Okta yMicrosoft Entra ID), tendrás que incluir sus dominios en tus listas de permisos.