Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Aktifkan Pusat Identitas IAM
<a name="enable-identity-center"></a>

Saat Anda mengaktifkan IAM Identity Center, Anda memilih jenis AWS IAM Identity Center instans untuk diaktifkan. Sebuah instance dari layanan adalah penyebaran tunggal layanan dalam AWS lingkungan Anda. Ada dua jenis instans yang tersedia untuk IAM Identity Center: instance organisasi dan instans akun. Jenis instans yang tersedia untuk Anda aktifkan bergantung pada jenis akun yang Anda masuki.

Daftar berikut mengidentifikasi jenis instans Pusat Identitas IAM yang dapat Anda aktifkan untuk setiap jenis: Akun AWS
+ **Akun AWS Organizations manajemen Anda (disarankan)** - Diperlukan untuk membuat [instance organisasi](organization-instances-identity-center.md) dari IAM Identity Center. Gunakan instans organisasi untuk izin multi-akun dan penetapan aplikasi di seluruh organisasi. Anda dapat mereplikasi jenis instans ini ke Wilayah tambahan untuk meningkatkan ketahanan akses akun dan fleksibilitas dalam memilih Wilayah penerapan AWS aplikasi.
+ **Akun AWS Organizations anggota Anda** — Gunakan untuk membuat [instance akun](account-instances-identity-center.md) IAM Identity Center untuk mengaktifkan penugasan aplikasi dalam akun anggota tersebut. Satu atau lebih akun dengan instance tingkat anggota dapat ada dalam suatu organisasi.
+ **Mandiri Akun AWS** — Gunakan untuk membuat [instance organisasi atau instance](organization-instances-identity-center.md) [akun](account-instances-identity-center.md) dari IAM Identity Center. Standalone Akun AWS tidak dikelola oleh AWS Organizations. Anda dapat mengaitkan hanya satu instance IAM Identity Center dengan standalone Akun AWS dan menggunakan instance itu untuk penugasan aplikasi dalam standalone tersebut. Akun AWS

**penting**  
Akun manajemen organisasi dapat mengontrol apakah [akun anggota organisasi dapat membuat instance akun Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html) dengan menggunakan Kebijakan Kontrol Layanan.  
Jika Anda menggunakan akun tingkat gratis, membuat AWS organisasi secara otomatis meningkatkan akun Anda ke paket berbayar dengan pay-as-you-go harga. Kredit tingkat gratis Anda segera kedaluwarsa. Untuk informasi selengkapnya, lihat [AWS Tingkat Gratis FAQs](https://aws.amazon.com/free/free-tier-faqs/).

Untuk perbandingan berbagai kemampuan yang disediakan oleh jenis instans yang berbeda, lihat[Organisasi dan instans akun Pusat Identitas IAM](identity-center-instances.md).

Sebelum mengaktifkan IAM Identity Center, kami sarankan Anda meninjau. [Prasyarat dan pertimbangan IAM Identity Center](identity-center-prerequisites.md)

## Untuk mengaktifkan instance dari IAM Identity Center
<a name="to-enable-identity-center-instance"></a>

Pilih tab untuk jenis instans Pusat Identitas IAM yang ingin Anda aktifkan, baik instans organisasi atau akun:

------
#### [ Organization (recommended) ]

1. Lakukan salah satu hal berikut untuk masuk ke Konsol Manajemen AWS.
   + **Baru di AWS (pengguna root)** - Masuk sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.
   + **Sudah menggunakan AWS dengan mandiri Akun AWS (kredensil IAM) — Masuk menggunakan kredensil** IAM Anda dengan izin administratif.
   + **Sudah menggunakan AWS Organizations (kredensil IAM) — Masuk menggunakan kredensil** akun manajemen Anda.

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. (Opsional) Jika Anda ingin menggunakan kunci KMS yang dikelola pelanggan untuk enkripsi saat istirahat daripada kunci AWS terkelola default, konfigurasikan kunci terkelola pelanggan di bagian **Kunci untuk mengenkripsi data Pusat Identitas IAM** saat istirahat. Untuk informasi lebih lanjut, lihat[Menerapkan kunci KMS yang dikelola pelanggan di AWS IAM Identity Center](identity-center-customer-managed-keys.md).
**penting**  
Lakukan langkah ini hanya jika Anda telah mengonfigurasi izin yang diperlukan untuk penggunaan kunci yang dikelola pelanggan KMS. Tanpa izin yang tepat, langkah ini dapat gagal atau mengganggu administrasi Pusat Identitas IAM dan AWS aplikasi terkelola.

1. Di bawah **Aktifkan Pusat Identitas IAM**, pilih **Aktifkan**.

1. Pada AWS Organizations halaman **Aktifkan Pusat Identitas IAM dengan**, tinjau informasi dan kemudian pilih **Aktifkan** untuk menyelesaikan proses. 
**catatan**  
AWS Organizations dapat mengaktifkan Pusat Identitas IAM hanya di satu AWS Wilayah. Setelah mengaktifkan Pusat Identitas IAM, jika Anda perlu mengubah Wilayah tempat Pusat Identitas IAM diaktifkan, Anda harus [menghapus](delete-config.md) instance saat ini dan membuat instance di Wilayah lain. 

Setelah mengaktifkan instans organisasi Anda, kami sarankan Anda melakukan langkah-langkah berikut untuk menyelesaikan pengaturan lingkungan Anda:
+ Konfirmasikan bahwa Anda menggunakan sumber identitas pilihan Anda. Jika Anda sudah memiliki sumber identitas yang ditetapkan, Anda dapat terus menggunakannya. Untuk informasi selengkapnya, lihat [Konfirmasikan sumber identitas Anda di Pusat Identitas IAM](confirm-identity-source.md).
+ Daftarkan akun anggota sebagai administrator yang didelegasikan. Untuk informasi selengkapnya, lihat [Administrator yang didelegasikan](delegated-admin.md).
+ IAM Identity Center memberi Anda portal akses ke AWS sumber daya. Jika Anda memfilter akses ke AWS domain atau titik akhir URL tertentu dengan menggunakan solusi pemfilteran konten web seperti firewall generasi berikutnya (NGFW) atau Secure Web Gateways (SWG), lihat. [Perbarui firewall dan gateway untuk memungkinkan akses ke Portal akses AWS](enable-identity-center-portal-access.md)

------
#### [ Account ]

1. Lakukan salah satu hal berikut untuk masuk ke Konsol Manajemen AWS.
   + **Baru di AWS (pengguna root)** - Masuk sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.
   + **Sudah menggunakan AWS (kredensil IAM) - Masuk menggunakan kredensil** IAM Anda dengan izin administratif.
   + **Sudah menggunakan AWS Organizations (kredensil IAM) - Masuk menggunakan kredensil** administratif akun anggota Anda.

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. **Jika Anda baru AWS atau memiliki standalone Akun AWS, di bawah **Aktifkan Pusat Identitas IAM**, pilih Aktifkan.**

   Anda melihat **Aktifkan Pusat Identitas IAM dengan AWS Organizations** halaman. Kami merekomendasikan opsi ini, tetapi tidak diperlukan.

   Pilih tautan **aktifkan instance akun IAM Identity Center**.

1. Jika Anda adalah administrator akun AWS Organizations anggota, di bawah **Aktifkan instance akun Pusat Identitas IAM**, pilih **Aktifkan instance akun**.

1. Pada halaman **Aktifkan instance akun IAM Identity Center**, tinjau informasi tersebut dan *tambahkan* tag yang ingin Anda kaitkan dengan instance akun ini. Kemudian pilih **Aktifkan** untuk menyelesaikan proses.
**catatan**  
Jika AWS akun Anda adalah anggota organisasi, mungkin ada batasan pada kemampuan Anda untuk mengaktifkan instance akun Pusat Identitas IAM.  
Jika organisasi Anda mengaktifkan Pusat Identitas IAM sebelum 15 November 2023, kemampuan akun anggota untuk membuat instance akun dinonaktifkan secara default dan harus diaktifkan oleh akun manajemen organisasi.
Jika organisasi Anda mengaktifkan Pusat Identitas IAM setelah 15 November 2023, kemampuan akun anggota untuk membuat instance akun diaktifkan secara default. Namun, kebijakan kontrol layanan dapat digunakan untuk mencegah pembuatan instance akun Pusat Identitas IAM dalam suatu organisasi. 
Lihat informasi yang lebih lengkap di [Izinkan pembuatan instans akun di akun anggota](enable-account-instance-console.md) dan [Gunakan Kebijakan Kontrol Layanan untuk mengontrol pembuatan instans akun](control-account-instance.md).

------

# Konfirmasikan sumber identitas Anda di Pusat Identitas IAM
<a name="confirm-identity-source"></a>

Sumber identitas Anda di IAM Identity Center menentukan di mana pengguna dan grup Anda dikelola. Setelah Anda mengaktifkan Pusat Identitas IAM, konfirmasikan bahwa Anda menggunakan sumber identitas pilihan Anda. Jika Anda sudah memiliki sumber identitas yang ditetapkan, Anda dapat terus menggunakannya. 

Jika Anda sudah mengelola pengguna dan grup di dalam Active Directory atau IDP eksternal, kami sarankan Anda mempertimbangkan untuk menghubungkan sumber identitas ini ketika Anda mengaktifkan IAM Identity Center dan memilih sumber identitas Anda. Ini harus dilakukan sebelum Anda membuat pengguna dan grup apa pun di direktori Pusat Identitas default dan membuat tugas apa pun.

 Jika Anda sudah mengelola pengguna dan grup dalam satu sumber identitas di Pusat Identitas IAM, mengubah ke sumber identitas yang berbeda dapat menghapus semua penetapan pengguna dan grup yang Anda konfigurasikan di Pusat Identitas IAM. Jika ini terjadi, semua pengguna, termasuk pengguna administratif di IAM Identity Center, akan kehilangan akses masuk tunggal ke aplikasi dan aplikasi mereka Akun AWS . Untuk informasi selengkapnya, lihat [Pertimbangan untuk mengubah sumber identitas Anda](manage-your-identity-source-considerations.md).

**Untuk mengonfirmasi sumber identitas Anda**

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pada halaman **Dasbor**, di bawah bagian **Langkah penyiapan yang disarankan**, pilih **Konfirmasi sumber identitas Anda**. Anda juga dapat mengakses halaman ini dengan memilih **Pengaturan** dan memilih tab **Sumber identitas**.

1. Tidak ada tindakan jika Anda ingin menyimpan sumber identitas yang ditetapkan. Jika Anda ingin mengubahnya, pilih **Tindakan**, lalu pilih **Ubah sumber identitas**.

Anda dapat memilih salah satu dari berikut ini sebagai sumber identitas Anda: 

**Direktori Pusat Identitas**  
Ketika Anda mengaktifkan IAM Identity Center untuk pertama kalinya, secara otomatis dikonfigurasi dengan direktori Pusat Identitas sebagai sumber identitas default Anda. Jika Anda belum menggunakan penyedia identitas eksternal lain, Anda dapat mulai membuat pengguna dan grup, dan menetapkan tingkat akses mereka ke aplikasi Akun AWS dan Anda. Untuk tutorial tentang menggunakan sumber identitas ini, lihat[Konfigurasikan akses pengguna dengan direktori IAM Identity Center default](quick-start-default-idc.md).

**Active Directory**  
Jika Anda sudah mengelola pengguna dan grup di AWS Managed Microsoft AD direktori Anda menggunakan Directory Service atau direktori yang dikelola sendiriActive Directory (AD), kami sarankan Anda menghubungkan direktori tersebut saat Anda mengaktifkan IAM Identity Center. Jangan membuat pengguna dan grup apa pun di direktori Pusat Identitas default. IAM Identity Center menggunakan koneksi yang disediakan oleh AWS Directory Service untuk menyinkronkan informasi pengguna, grup, dan keanggotaan dari direktori sumber Anda di Active Directory ke toko identitas IAM Identity Center. Untuk informasi selengkapnya, lihat [Microsoft ADdirektori](manage-your-identity-source-ad.md).  
IAM Identity Center tidak mendukung Simple AD SAMBA4 berbasis sebagai sumber identitas.

**Penyedia identitas eksternal**  
Untuk penyedia identitas eksternal (IdPs) seperti Okta atauMicrosoft Entra ID, Anda dapat menggunakan IAM Identity Center untuk mengautentikasi identitas dari IdPs melalui standar Security Assertion Markup Language (SAMP) 2.0. Protokol SAMP tidak menyediakan cara untuk menanyakan IDP untuk mempelajari tentang pengguna dan grup. Anda membuat Pusat Identitas IAM mengetahui pengguna dan grup tersebut dengan menyediakannya ke Pusat Identitas IAM. Anda dapat melakukan penyediaan otomatis (sinkronisasi) informasi pengguna dan grup dari IDP Anda ke Pusat Identitas IAM menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0 jika IDP Anda mendukung SCIM. Jika tidak, Anda dapat menyediakan pengguna dan grup secara manual dengan memasukkan nama pengguna, alamat email, dan grup secara manual ke Pusat Identitas IAM.  
Untuk petunjuk terperinci tentang pengaturan sumber identitas Anda, lihat[Tutorial sumber identitas Pusat Identitas IAM](tutorials.md).  
Jika Anda berencana untuk menggunakan penyedia identitas eksternal, perhatikan bahwa IDP eksternal, bukan Pusat Identitas IAM, mengelola pengaturan otentikasi multi-faktor (MFA). MFA di Pusat Identitas IAM tidak didukung untuk digunakan oleh penyedia identitas eksternal. Untuk informasi selengkapnya, lihat [Meminta pengguna untuk MFA](mfa-getting-started.md).

**catatan**  
Jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda perlu mengonfigurasi penyedia identitas eksternal. Untuk detail lebih lanjut termasuk prasyarat, lihat. [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md)

# Perbarui firewall dan gateway untuk memungkinkan akses ke Portal akses AWS
<a name="enable-identity-center-portal-access"></a>

Portal AWS akses memberi pengguna akses masuk tunggal ke semua aplikasi cloud Anda Akun AWS dan yang paling umum digunakan seperti Office 365, Concur, Salesforce, dan banyak lagi. Anda dapat dengan cepat meluncurkan beberapa aplikasi hanya dengan memilih ikon Akun AWS atau aplikasi di portal. 

**catatan**  
AWS aplikasi terkelola terintegrasi dengan IAM Identity Center dan menggunakannya untuk otentikasi dan layanan direktori, tetapi mungkin tidak menggunakan portal AWS akses untuk akses aplikasi.

Jika Anda memfilter akses ke AWS domain atau titik akhir URL tertentu dengan menggunakan solusi pemfilteran konten web seperti firewall generasi berikutnya (NGFW) atau Secure Web Gateways (SWG), Anda harus mengizinkan daftar domain dan titik akhir URL yang terkait dengan portal akses. AWS 

Daftar berikut menyediakan domain tumpukan ganda IPv4 dan titik akhir URL untuk ditambahkan ke daftar izin solusi penyaringan konten web Anda.

**IPv4 izinkan daftar**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com `
+ `*.sso-portal.[Region].amazonaws.com`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`

**Daftar izinkan tumpukan ganda**
+ `[Identity Center instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].api.aws`
+ `sso.[Region].api.aws`
+ `portal.sso.[Region].api.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

**Daftar izinkan gabungan (IPv4 \$1 Tumpukan ganda dengan kompatibilitas mundur)**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `[Identity Centers instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `oidc.[Region].api.aws`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com`
+ `sso.[Region].api.aws`
+ `*.sso-portal.[Region].amazonaws.com`
+ `portal.sso.[Region].api.aws`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

## Pertimbangan untuk mengizinkan daftar domain dan titik akhir URL
<a name="allowlist-considerations"></a>

Selain persyaratan daftar izin untuk portal AWS akses, layanan dan aplikasi lain yang Anda gunakan mungkin memerlukan daftar domain yang diizinkan. 
+ Untuk mengakses Akun AWS, konsol Konsol Manajemen AWS, dan IAM Identity Center dari portal AWS akses Anda, Anda harus mengizinkan daftar domain tambahan. Lihat [Pemecahan Masalah](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/troubleshooting.html) di *Panduan Konsol Manajemen AWS Memulai* untuk daftar domain. Konsol Manajemen AWS 
+ Untuk mengakses aplikasi AWS terkelola dari portal AWS akses Anda, Anda harus mengizinkan daftar domain masing-masing. Lihat dokumentasi layanan masing-masing untuk panduan. 
+ Jika Anda menggunakan perangkat lunak eksternal, seperti eksternal IdPs (misalnya, Okta danMicrosoft Entra ID), Anda harus menyertakan domain mereka dalam daftar yang diizinkan.