Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memulai dengan IAM Identity Center
Berikut ini menguraikan bagaimana Anda dapat memulai dengan IAM Identity Center.
1. **Aktifkan Pusat Identitas IAM**
Ketika Anda [mengaktifkan IAM Identity Center](enable-identity-center.md), Anda memilih antara dua jenis instans IAM Identity Center. Jenis ini adalah: [*instance organisasi*](organization-instances-identity-center.md) (disarankan) dan [*instance akun*](account-instances-identity-center.md). Untuk mempelajari selengkapnya tentang berbagai kemampuan jenis instans ini, lihat [instans organisasi dan akun Pusat Identitas IAM](identity-center-instances.md).
**catatan**
Setelah Pusat Identitas IAM diaktifkan, Anda dapat masuk dan membuka [konsol Pusat Identitas IAM](https://console.aws.amazon.com//singlesignon/) dengan melakukan salah satu hal berikut:
**Contoh organisasi** - Masuk untuk AWS menggunakan kredensi dengan izin administratif di akun manajemen.
**Instans akun** - Masuk AWS menggunakan kredensi dengan izin administratif di Akun AWS tempat Pusat Identitas IAM diaktifkan.
1. **Hubungkan sumber identitas Anda ke IAM Identity Center**
Di konsol IAM Identity Center, konfirmasikan sumber identitas yang ingin Anda gunakan. Lihat berikut ini untuk sumber identitas:
+ **Penyedia identitas eksternal** - Jika Anda memiliki penyedia identitas yang ada untuk mengelola pengguna tenaga kerja Anda, Anda dapat menghubungkannya ke Pusat Identitas IAM. Untuk informasi selengkapnya tentang cara mengonfigurasi penyedia identitas yang umum digunakan agar bekerja dengan Pusat Identitas IAM, lihat[Tutorial sumber identitas Pusat Identitas IAM](tutorials.md).
+ **Active Directory** - Jika Anda menggunakan Active Directory untuk mengelola pengguna tenaga kerja Anda, Anda dapat menghubungkannya ke IAM Identity Center. Untuk informasi selengkapnya, lihat [Menggunakan Active Directory sebagai sumber identitas](gs-ad.md).
+ **Pusat Identitas IAM** - Atau, Anda dapat [membuat dan mengelola pengguna dan grup langsung di Pusat Identitas IAM](quick-start-default-idc.md).
**catatan**
Saat ini, Anda harus menggunakan penyedia identitas eksternal sebagai sumber identitas untuk memanfaatkan pengaturan Multi-wilayah dengan Pusat Identitas IAM Anda. Untuk informasi selengkapnya tentang manfaat penyiapan ini, lihat[Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md).
1. **Siapkan akses pengguna ke Akun AWS (hanya contoh organisasi)**
Jika Anda menggunakan instance organisasi Pusat Identitas IAM, Anda dapat [menetapkan akses pengguna atau grup Akun AWS, menggunakan [set izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/permissionsetsconcept.html) untuk](https://docs.aws.amazon.com//singlesignon/latest/userguide/assignusers.html) memberikan akses Akun AWS dan sumber daya kepada pengguna Anda.
1. **Mengatur akses pengguna ke aplikasi**
Dengan IAM Identity Center, Anda dapat memberi pengguna akses ke dua jenis aplikasi:
1. **[AWS aplikasi terkelola](awsapps.md)**
+ Anda dapat menggunakan IAM Identity Center dengan aplikasi AWS terkelola seperti Amazon Q Business AWS CLI, dan Amazon Redshift. Untuk informasi selengkapnya, lihat [AWS aplikasi terkelola](awsapps.md) dan [Mengintegrasikan AWS CLI dengan IAM Identity Center](integrating-aws-cli.md).
1. **[Aplikasi yang dikelola pelanggan](customermanagedapps.md)**
+ Anda dapat mengintegrasikan salah satu dari jenis aplikasi yang dikelola pelanggan berikut dengan IAM Identity Center:
+ [Aplikasi yang tercantum dalam katalog IAM Identity Center](saasapps.md)
+ [Aplikasi kustom Anda](customermanagedapps-set-up-your-own-app-saml2.md)
+ Setelah mengonfigurasi aplikasi Anda, Anda dapat [menetapkan akses pengguna ke aplikasi.](assignuserstoapp.md)
1. **Berikan petunjuk masuk kepada pengguna Anda untuk portal AWS akses**
Portal AWS akses adalah portal web yang memberi pengguna Anda akses tanpa batas ke semua aplikasi yang ditugaskan, Akun AWS, atau keduanya. Pengguna baru di IAM Identity Center harus mengaktifkan kredensialnya sebelum mereka dapat masuk ke portal akses. AWS
Untuk informasi tentang cara masuk ke portal AWS akses, lihat [Masuk ke portal AWS akses](https://docs.aws.amazon.com//signin/latest/userguide/iam-id-center-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*. Untuk mempelajari proses masuk untuk portal AWS akses, lihat [Masuk ke portal AWS akses](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtosignin.html).
# Prasyarat dan pertimbangan IAM Identity Center
Anda dapat menggunakan IAM Identity Center untuk akses ke aplikasi AWS terkelola saja, Akun AWS hanya, atau keduanya. Jika Anda menggunakan federasi IAM untuk mengelola akses ke Akun AWS, Anda dapat terus melakukannya saat menggunakan IAM Identity Center untuk akses aplikasi.
Sebelum mengaktifkan IAM Identity Center, pertimbangkan hal berikut:
+ AWS Wilayah
Pertama-tama Anda mengaktifkan Pusat Identitas IAM dalam satu Wilayah yang [didukung](regions.md) untuk setiap instance Pusat Identitas IAM. Jika Anda ingin menggunakan Pusat Identitas IAM untuk akses masuk tunggal ke AWS akun, Wilayah harus dapat diakses oleh semua pengguna di organisasi Anda. Jika Anda berencana menggunakan Pusat Identitas IAM untuk akses aplikasi, ketahuilah bahwa beberapa aplikasi yang AWS dikelola, seperti Amazon SageMaker AI, hanya dapat beroperasi di Wilayah yang mereka dukung. Selain itu, sebagian besar aplikasi yang AWS dikelola memerlukan IAM Identity Center untuk tersedia di Wilayah yang sama dengan aplikasi. Ini dapat dicapai dengan menempatkannya bersama di Wilayah yang sama, atau ketika didukung, dengan mereplikasi instance Pusat Identitas IAM ke Wilayah penerapan yang diinginkan dari aplikasi terkelola. AWS Untuk informasi selengkapnya, lihat [Pertimbangan untuk memilih Wilayah AWS](identity-center-region-considerations.md).
+ Akses aplikasi saja
Anda dapat menggunakan IAM Identity Center hanya untuk akses pengguna ke aplikasi seperti Kiro, menggunakan penyedia identitas yang ada. Untuk informasi selengkapnya, lihat [Menggunakan IAM Identity Center hanya untuk akses pengguna ke aplikasi](identity-center-for-apps-only.md).
**catatan**
Akses ke sumber daya aplikasi dikelola secara independen oleh pemilik aplikasi.
+ Kuota untuk peran IAM
IAM Identity Center membuat peran IAM untuk memberikan izin pengguna ke sumber daya akun. Untuk informasi selengkapnya, lihat [Peran IAM dibuat oleh IAM Identity Center](identity-center-and-iam-roles.md).
+ Pusat Identitas IAM dan AWS Organizations
AWS Organizations direkomendasikan, tetapi tidak diperlukan, untuk digunakan dengan IAM Identity Center. Jika Anda belum mendirikan organisasi, Anda tidak perlu melakukannya. Jika Anda sudah menyiapkan AWS Organizations dan akan menambahkan Pusat Identitas IAM ke organisasi Anda, pastikan semua AWS Organizations fitur diaktifkan. Untuk informasi selengkapnya, lihat [Pusat Identitas IAM dan AWS Organizations](identity-center-and-orgs.md).
Antarmuka web IAM Identity Center, termasuk portal akses dan konsol IAM Identity Center, dimaksudkan untuk diakses oleh manusia melalui browser web yang didukung. Browser yang kompatibel mencakup tiga versi terbaru Microsoft Edge, Mozilla Firefox, Google Chrome, dan Apple Safari. Mengakses titik akhir ini menggunakan jalur berbasis non-browser tidak didukung. Untuk akses terprogram ke layanan IAM Identity Center, sebaiknya gunakan dokumentasi yang APIs tersedia di panduan referensi IAM Identity Center dan Identity Store API.
# Pertimbangan untuk memilih Wilayah AWS
Anda dapat mengaktifkan Pusat Identitas IAM dalam satu, didukung Wilayah AWS pilihan Anda dan tersedia untuk pengguna secara global. Ketersediaan global ini memudahkan Anda untuk mengonfigurasi akses pengguna ke beberapa Akun AWS dan aplikasi. Berikut ini adalah pertimbangan utama untuk memilih. Wilayah AWS
+ **Lokasi geografis pengguna Anda** — Ketika Anda memilih Wilayah yang secara geografis paling dekat dengan mayoritas pengguna akhir Anda, mereka akan memiliki latensi akses yang lebih rendah ke portal AWS akses dan aplikasi AWS terkelola, seperti Amazon AI. SageMaker
+ **Wilayah Keikutsertaan (Wilayah yang dinonaktifkan secara default)** - Wilayah keikutsertaan adalah wilayah Wilayah AWS yang dinonaktifkan secara default. Untuk menggunakan Region opt-in, Anda harus mengaktifkannya. Untuk informasi selengkapnya, lihat [Mengelola Pusat Identitas IAM di Wilayah keikutsertaan](regions.md#manually-enabled-regions).
+ **Mereplikasi Pusat Identitas IAM ke Wilayah tambahan** - Jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke tambahan Wilayah AWS, Anda harus memilih Wilayah yang diaktifkan secara default. Untuk informasi selengkapnya, lihat [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md).
+ **Memilih Wilayah penyebaran untuk aplikasi AWS AWS terkelola** — aplikasi yang dikelola hanya dapat beroperasi Wilayah AWS di mana mereka tersedia. Banyak aplikasi yang AWS dikelola juga dapat beroperasi hanya di Wilayah di mana Pusat Identitas IAM diaktifkan atau direplikasi ke (Wilayah primer atau tambahan). Untuk mengonfirmasi apakah instans Pusat Identitas IAM Anda mendukung replikasi ke Wilayah tambahan, lihat. [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md) Jika replikasi bukan pilihan, pertimbangkan untuk mengaktifkan Pusat Identitas IAM di Wilayah tempat Anda berencana untuk menggunakan AWS aplikasi terkelola.
+ **Kedaulatan digital — Peraturan kedaulatan** digital atau kebijakan perusahaan dapat mengamanatkan penggunaan tertentu. Wilayah AWS Konsultasikan dengan departemen hukum perusahaan Anda.
+ **Sumber identitas** - Jika Anda menggunakan [AWS Managed Microsoft AD](connectawsad.md)atau direktori yang dikelola sendiri di [Active Directory (AD)](connectonpremad.md) sebagai sumber identitas, Wilayah beranda harus cocok dengan tempat Anda mengaktifkan Wilayah AWS Pusat Identitas IAM.
+ **Email Lintas Wilayah dengan Layanan Email Sederhana Amazon** - Di beberapa Wilayah, Pusat Identitas IAM dapat [memanggil Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) di Wilayah lain untuk mengirim email. Dalam panggilan Lintas wilayah ini, Pusat Identitas IAM mengirimkan atribut pengguna tertentu ke Wilayah lain. Untuk informasi selengkapnya, lihat [Email Lintas Wilayah dengan Amazon SES](regions.md#cross-region-calls).
+ **AWS Control Tower**— Jika Anda mengaktifkan instance organisasi dari IAM Identity Center dari AWS Control Tower, instance akan dibuat di Region yang sama dengan AWS Control Tower landing zone.
**Topics**
+ [Penyimpanan dan operasi data Wilayah Pusat Identitas IAM](regions.md)
+ [Beralih Wilayah AWS](switching-regions.md)
+ [Menonaktifkan Wilayah AWS tempat Pusat Identitas IAM diaktifkan](disabling-region-with-identity-center.md)
# Penyimpanan dan operasi data Wilayah Pusat Identitas IAM
Pelajari cara IAM Identity Center menangani penyimpanan dan operasi data. Wilayah AWS
## Memahami bagaimana IAM Identity Center menyimpan data
Saat Anda mengaktifkan Pusat Identitas IAM, semua data yang Anda konfigurasikan di Pusat Identitas IAM disimpan di Wilayah tempat Anda mengaktifkannya. Data ini mencakup konfigurasi direktori, set izin, instance aplikasi, dan penugasan pengguna ke aplikasi. Akun AWS Jika Anda menggunakan penyimpanan identitas Pusat Identitas IAM, semua pengguna dan grup yang Anda buat di Pusat Identitas IAM juga disimpan di Wilayah yang sama. Jika Anda mereplikasi instans Pusat Identitas IAM Anda ke Wilayah tambahan, Pusat Identitas IAM secara otomatis mereplikasi pengguna, grup, set izin dan penugasan mereka, serta metadata dan konfigurasi lainnya ke Wilayah tersebut.
## Email Lintas Wilayah dengan Amazon SES
IAM Identity Center menggunakan [Amazon Simple Email Service (Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)) untuk mengirim email ke pengguna akhir ketika mereka mencoba masuk dengan kata sandi satu kali (OTP) sebagai faktor otentikasi kedua. Email ini juga dikirim untuk acara manajemen identitas dan kredensi tertentu, seperti ketika pengguna diundang untuk mengatur kata sandi awal, untuk memverifikasi alamat email, dan mengatur ulang kata sandi mereka. Amazon SES tersedia dalam subset yang didukung Pusat Identitas IAM. Wilayah AWS
Pusat Identitas IAM memanggil titik akhir lokal Amazon SES saat Amazon SES tersedia secara lokal di file. Wilayah AWS Jika Amazon SES tidak tersedia secara lokal, Pusat Identitas IAM memanggil titik akhir Amazon SES secara berbeda Wilayah AWS, seperti yang ditunjukkan dalam tabel berikut.
| Kode Wilayah Pusat Identitas IAM | Nama Wilayah Pusat Identitas IAM | Kode Wilayah Amazon SES | Nama wilayah Amazon SES |
| --- | --- | --- | --- |
| ap-east-1 | Asia Pasifik (Hong Kong) | ap-northeast-2 | Asia Pasifik (Seoul) |
| ap-east-2 | Asia Pasifik (Taipei) | ap-northeast-1 | Asia Pasifik (Tokyo) |
| ap-south-2 | Asia Pasifik (Hyderabad) | ap-south-1 | Asia Pasifik (Mumbai) |
| ap-southeast-4 | Asia Pacific (Melbourne) | ap-southeast-2 | Asia Pasifik (Sydney) |
| ap-southeast-5 | Asia Pasifik (Malaysia) | ap-southeast-1 | Asia Pasifik (Singapura) |
| ap-southeast-6 | Asia Pasifik (Selandia Baru) | ap-southeast-2 | Asia Pasifik (Sydney) |
| ap-southeast-7 | Asia Pasifik (Thailand) | ap-northeast-3 | Asia Pasifik (Osaka) |
| ca-west-1 | Kanada Barat (Calgary) | ca-central-1 | Kanada (Pusat) |
| eu-south-2 | Eropa (Spanyol) | eu-west-3 | Eropa (Paris) |
| eu-central-2 | Europe (Zurich) | eu-central-1 | Eropa (Frankfurt) |
| mx-central-1 | Meksiko (Tengah) | us-east-2 | AS Timur (Ohio) |
| me-central-1 | Timur Tengah (UAE) | eu-central-1 | Eropa (Frankfurt) |
| us-gov-east-1 | AWS GovCloud (AS-Timur) | us-gov-west-1 | AWS GovCloud (AS-Barat) |
Dalam panggilan Lintas wilayah ini, Pusat Identitas IAM mungkin mengirimkan atribut pengguna berikut:
+ Alamat Email
+ Nama depan
+ Nama belakang
+ Akun di AWS Organizations
+ AWS URL portal akses
+ nama pengguna
+ ID Direktori
+ ID Pengguna
## Mengelola Pusat Identitas IAM di Wilayah keikutsertaan (Wilayah yang dinonaktifkan secara default)
Sebagian besar Wilayah AWS diaktifkan untuk operasi di semua AWS layanan secara default, tetapi Anda harus mengaktifkan [Wilayah keikutsertaan](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion) berikut jika Anda ingin menggunakan Pusat Identitas IAM:
+ Africa (Cape Town)
+ Asia Pasifik (Hong Kong)
+ Asia Pasifik (Taipei)
+ Asia Pasifik (Hyderabad)
+ Asia Pasifik (Jakarta)
+ Asia Pacific (Melbourne)
+ Asia Pasifik (Malaysia)
+ Asia Pasifik (Selandia Baru)
+ Asia Pasifik (Thailand)
+ Kanada Barat (Calgary)
+ Europe (Milan)
+ Eropa (Spanyol)
+ Europe (Zurich)
+ Israel (Tel Aviv)
+ Meksiko (Tengah)
+ Timur Tengah (Bahrain)
+ Middle East (UAE)
Jika Anda menerapkan Pusat Identitas IAM di Wilayah keikutsertaan, maka Anda harus mengaktifkan Wilayah ini di semua akun yang ingin Anda kelola aksesnya ke Pusat Identitas IAM. Semua akun memerlukan konfigurasi ini, apakah Anda akan membuat sumber daya di Wilayah itu atau tidak. Anda dapat mengaktifkan Wilayah untuk akun saat ini di organisasi Anda dan Anda harus mengulangi tindakan ini saat menambahkan akun baru. Untuk petunjuk, lihat [Mengaktifkan atau menonaktifkan Wilayah di organisasi Anda](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) di *Panduan AWS Organizations Pengguna*. Untuk menghindari pengulangan langkah-langkah tambahan ini, Anda dapat memilih untuk menerapkan Pusat Identitas IAM Anda di [Wilayah yang diaktifkan secara default](#regions-enabled-by-default).
**catatan**
Akun AWS anggota Anda harus dipilih ke Wilayah yang sama dengan Wilayah keikutsertaan di mana instans Pusat Identitas IAM Anda berada, sehingga Anda dapat mengakses akun AWS anggota dari portal akses. AWS
**Metadata disimpan di Wilayah keikutsertaan**
Saat Anda mengaktifkan Pusat Identitas IAM untuk akun manajemen dalam keikutsertaan Wilayah AWS, metadata Pusat Identitas IAM berikut untuk setiap akun anggota disimpan di Wilayah.
+ ID Akun
+ Nama akun
+ Email akun
+ Amazon Resource Names (ARNs) dari peran IAM yang dibuat Pusat Identitas IAM di akun anggota
## Wilayah AWS yang diaktifkan secara default
Wilayah berikut diaktifkan secara default dan Anda dapat mengaktifkan Pusat Identitas IAM di Wilayah ini.
+ AS Timur (Ohio)
+ AS Timur (Virginia Utara)
+ AS Barat (Oregon)
+ AS Barat (California Utara)
+ Eropa (Paris)
+ Amerika Selatan (São Paulo)
+ Asia Pasifik (Mumbai)
+ Eropa (Stockholm)
+ Asia Pasifik (Seoul)
+ Asia Pasifik (Tokyo)
+ Eropa (Irlandia)
+ Eropa (Frankfurt)
+ Eropa (London)
+ Asia Pasifik (Singapura)
+ Asia Pacific (Sydney)
+ Kanada (Pusat)
+ Asia Pasifik (Osaka)
# Beralih Wilayah AWS
Kami menyarankan Anda menginstal Pusat Identitas IAM di Wilayah yang ingin Anda tetap tersedia bagi pengguna, bukan Wilayah yang mungkin perlu Anda nonaktifkan. Untuk informasi selengkapnya, lihat [Pertimbangan untuk memilih Wilayah AWS](identity-center-region-considerations.md).
Anda dapat mengganti Wilayah Pusat Identitas IAM Anda hanya dengan [menghapus instans Pusat Identitas IAM Anda saat ini dan membuat instance](delete-config.md) di Wilayah lain. Jika Anda sudah mengaktifkan aplikasi AWS terkelola dengan instans Pusat Identitas IAM yang ada, nonaktifkan aplikasi sebelum menghapus Pusat Identitas IAM. Untuk petunjuk tentang menonaktifkan aplikasi AWS terkelola, lihat. [Menonaktifkan aplikasi terkelola AWS](awsapps-remove.md)
**catatan**
Jika Anda mempertimbangkan untuk mengalihkan Wilayah Pusat Identitas IAM Anda untuk mengaktifkan penerapan aplikasi AWS terkelola di Wilayah lain, pertimbangkan untuk mereplikasi instans Pusat Identitas IAM Anda ke Wilayah tersebut. Untuk informasi selengkapnya, lihat [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md).
**Pertimbangan konfigurasi di Wilayah baru**
Anda harus membuat ulang pengguna, grup, set izin, aplikasi, dan tugas di instans Pusat Identitas IAM yang baru. Anda dapat menggunakan akun IAM Identity Center dan penetapan aplikasi [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)untuk mendapatkan snapshot konfigurasi Anda dan kemudian menggunakan snapshot itu untuk membangun kembali konfigurasi Anda di Wilayah baru. Beralih ke Wilayah lain juga mengubah URL untuk [portal AWS akses](using-the-portal.md), yang memberi pengguna Anda akses masuk tunggal ke aplikasi Akun AWS dan aplikasi mereka. Anda mungkin juga perlu membuat ulang beberapa konfigurasi Pusat Identitas IAM melalui Konsol Manajemen instans baru Anda.
# Menonaktifkan Wilayah AWS tempat Pusat Identitas IAM diaktifkan
Jika Anda menonaktifkan Wilayah AWS di mana Pusat Identitas IAM diinstal, Pusat Identitas IAM juga dinonaktifkan. Setelah Pusat Identitas IAM dinonaktifkan di Wilayah, pengguna di Wilayah tersebut tidak akan memiliki akses masuk tunggal ke Akun AWS dan aplikasi.
Untuk mengaktifkan kembali Pusat Identitas IAM dalam [keikutsertaan Wilayah AWS](regions.md#manually-enabled-regions), Anda harus mengaktifkan kembali Wilayah. Karena IAM Identity Center harus memproses ulang semua peristiwa yang dijeda, mengaktifkan kembali IAM Identity Center mungkin membutuhkan waktu.
**catatan**
Pusat Identitas IAM hanya dapat mengelola akses ke Akun AWS yang diaktifkan untuk digunakan dalam file Wilayah AWS. Untuk mengelola akses di semua akun di organisasi Anda, aktifkan Pusat Identitas IAM di akun manajemen Wilayah AWS yang diaktifkan secara otomatis untuk digunakan dengan Pusat Identitas IAM.
*Untuk informasi selengkapnya tentang mengaktifkan dan menonaktifkan Wilayah AWS, lihat [Mengelola Wilayah AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) di Referensi Umum.AWS *
# Menggunakan IAM Identity Center hanya untuk akses pengguna ke aplikasi
Anda dapat menggunakan IAM Identity Center untuk akses pengguna ke aplikasi seperti Kiro, Akun AWS, atau keduanya. Anda dapat menghubungkan penyedia identitas yang ada dan menyinkronkan pengguna dan grup dari direktori Anda, atau [membuat dan mengelola pengguna secara langsung di Pusat Identitas IAM](quick-start-default-idc.md). Untuk informasi tentang cara menghubungkan penyedia identitas Anda yang ada ke Pusat Identitas IAM, lihat. [Tutorial sumber identitas Pusat Identitas IAM](tutorials.md)
**Sudah menggunakan IAM untuk akses ke? Akun AWS**
Anda tidak perlu membuat perubahan apa pun pada Akun AWS alur kerja Anda saat ini untuk menggunakan Pusat Identitas IAM untuk akses ke aplikasi AWS terkelola. Jika Anda menggunakan [federasi dengan IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam) untuk Akun AWS akses, pengguna Anda dapat terus mengakses Akun AWS dengan cara yang sama seperti yang selalu mereka miliki, dan Anda dapat terus menggunakan alur kerja yang ada untuk mengelola akses tersebut.
# Peran IAM dibuat oleh IAM Identity Center
Ketika Anda menetapkan pengguna ke AWS akun IAM Identity Center membuat peran IAM untuk memberikan izin pengguna ke sumber daya.
Saat Anda menetapkan set izin, Pusat Identitas IAM akan membuat peran IAM yang dikendalikan Pusat Identitas IAM terkait di setiap akun, dan melampirkan kebijakan yang ditentukan dalam izin yang disetel ke peran tersebut. IAM Identity Center mengelola peran, dan memungkinkan pengguna resmi yang telah Anda tentukan untuk mengambil peran, dengan menggunakan portal AWS akses atau. AWS CLI Saat Anda mengubah set izin, IAM Identity Center memastikan bahwa kebijakan dan peran IAM yang sesuai diperbarui. Mereplikasi instans Pusat Identitas IAM Anda ke Wilayah tambahan tidak memengaruhi peran IAM yang ada, dan itu tidak membuat peran IAM baru.
**catatan**
Set izin tidak digunakan untuk memberikan izin ke aplikasi.
Jika Anda sudah mengonfigurasi peran IAM Akun AWS, kami sarankan Anda memeriksa apakah akun Anda mendekati kuota untuk peran IAM. Kuota default untuk peran IAM per akun adalah 1000 peran. Untuk informasi selengkapnya, lihat [kuota objek IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities).
Jika Anda mendekati kuota, pertimbangkan untuk meminta kenaikan kuota. Jika tidak, Anda mungkin mengalami masalah dengan Pusat Identitas IAM saat Anda memberikan set izin ke akun yang telah melebihi kuota peran IAM. Untuk informasi tentang cara meminta kenaikan kuota, lihat [Meminta kenaikan kuota pada Panduan Pengguna *Service* Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html).
**catatan**
Jika Anda meninjau peran IAM di akun yang sudah menggunakan Pusat Identitas IAM, Anda mungkin melihat nama peran yang dimulai dengan. “AWSReservedSSO\$1” Ini adalah peran yang dibuat oleh layanan Pusat Identitas IAM di akun, dan mereka berasal dari menetapkan izin yang ditetapkan ke akun.
# Pusat Identitas IAM dan AWS Organizations
AWS Organizations direkomendasikan, tetapi tidak diperlukan, untuk digunakan dengan IAM Identity Center. Jika Anda belum mendirikan organisasi, Anda tidak perlu melakukannya. Ketika Anda mengaktifkan IAM Identity Center, Anda akan memilih apakah akan mengaktifkan layanan dengan AWS Organizations. Ketika Anda mendirikan sebuah organisasi, Akun AWS yang mengatur organisasi menjadi akun manajemen organisasi. Pengguna root sekarang Akun AWS adalah pemilik akun manajemen organisasi. Setiap tambahan yang Akun AWS Anda undang ke organisasi Anda adalah akun anggota. Akun manajemen membuat sumber daya organisasi, unit organisasi, dan kebijakan yang mengelola akun anggota. Izin didelegasikan ke akun anggota oleh akun manajemen.
**catatan**
Kami menyarankan Anda mengaktifkan Pusat Identitas IAM dengan AWS Organizations, yang membuat instance organisasi dari IAM Identity Center. Contoh organisasi adalah praktik terbaik yang kami rekomendasikan karena mendukung semua fitur Pusat Identitas IAM dan menyediakan kemampuan manajemen pusat. Untuk informasi selengkapnya, lihat [Contoh organisasi Pusat Identitas IAM](organization-instances-identity-center.md).
Jika Anda sudah menyiapkan AWS Organizations dan akan menambahkan Pusat Identitas IAM ke organisasi Anda, pastikan semua AWS Organizations fitur diaktifkan. Saat Anda membuat organisasi, mengaktifkan semua fitur adalah default. Untuk informasi selengkapnya, lihat [Mengaktifkan semua fitur di organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) dalam *Panduan Pengguna AWS Organizations *.
Untuk mengaktifkan instans organisasi Pusat Identitas IAM, Anda harus masuk ke Konsol Manajemen AWS dengan masuk ke akun AWS Organizations manajemen Anda sebagai pengguna yang memiliki kredensi administratif atau sebagai pengguna root (tidak disarankan kecuali tidak ada pengguna administratif lain yang ada). Untuk informasi selengkapnya, lihat [Membuat dan mengelola AWS Organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) di *Panduan AWS Organizations Pengguna*.
Saat masuk dengan kredensi administratif dari akun AWS Organizations anggota, Anda dapat mengaktifkan instance akun Pusat Identitas IAM. Instans akun memiliki kemampuan terbatas dan terikat pada satu AWS akun.
# Organisasi dan instans akun Pusat Identitas IAM
Instance adalah penyebaran tunggal IAM Identity Center. *Ada dua jenis instance yang tersedia untuk IAM Identity Center: *instance organisasi dan instans akun*.*
+ Contoh organisasi (disarankan)
Contoh Pusat Identitas IAM yang Anda aktifkan di akun AWS Organizations manajemen. Instans organisasi mendukung semua fitur Pusat Identitas IAM. Sebaiknya gunakan instans organisasi daripada instans akun untuk meminimalkan jumlah poin manajemen.
+ Contoh akun
Sebuah instance dari IAM Identity Center yang terikat pada satu Akun AWS, dan yang hanya terlihat di dalam Akun AWS dan AWS Region di mana ia diaktifkan. Gunakan instance akun untuk skenario akun tunggal yang lebih sederhana. Anda dapat mengaktifkan instance akun dari salah satu dari berikut ini:
+ Sebuah Akun AWS yang tidak dikelola oleh AWS Organizations
+ Akun anggota di AWS Organizations
## Akun AWS jenis yang dapat mengaktifkan Pusat Identitas IAM
Untuk mengaktifkan Pusat Identitas IAM, masuk ke Konsol Manajemen AWS dengan menggunakan salah satu kredensi berikut, tergantung pada jenis instans yang ingin Anda buat:
+ **Akun AWS Organizations manajemen Anda (disarankan)** - Diperlukan untuk membuat [instance organisasi](organization-instances-identity-center.md) dari IAM Identity Center. Gunakan instance organisasi untuk izin multi-akun dan penetapan aplikasi di seluruh organisasi.
+ **Akun AWS Organizations anggota Anda** — Gunakan untuk membuat [instance akun](account-instances-identity-center.md) IAM Identity Center untuk mengaktifkan penugasan aplikasi dalam akun anggota tersebut. Satu atau lebih akun dengan instance tingkat anggota dapat ada dalam suatu organisasi.
+ **Mandiri Akun AWS** — Gunakan untuk membuat [instance organisasi atau instance](organization-instances-identity-center.md) [akun](account-instances-identity-center.md) dari IAM Identity Center. Standalone Akun AWS tidak dikelola oleh AWS Organizations. Anda dapat mengaitkan hanya satu instance IAM Identity Center dengan standalone Akun AWS dan menggunakan instance itu untuk penugasan aplikasi dalam standalone tersebut. Akun AWS
Gunakan tabel berikut untuk membandingkan kemampuan yang disediakan oleh jenis instance:
| Kemampuan | Instance di akun AWS Organizations manajemen (disarankan) | Instance di akun anggota | Instance dalam standalone Akun AWS |
| --- | --- | --- | --- |
| Mengelola pengguna | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya |
| AWS akses portal untuk akses masuk tunggal ke aplikasi AWS terkelola Anda | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya |
| OAuth 2.0 (OIDC) aplikasi yang dikelola pelanggan | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya |
| Izin multi-akun | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[No\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-no.png)Tidak | ![\[No\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-no.png)Tidak |
| AWS akses portal untuk akses masuk tunggal ke Anda Akun AWS | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[No\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-no.png)Tidak | ![\[No\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-no.png)Tidak |
| Aplikasi yang dikelola pelanggan SAMP 2.0 | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[No\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-no.png)Tidak | ![\[No\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-no.png)Tidak |
| Administrator yang didelegasikan dapat mengelola instance | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[No\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-no.png)Tidak | ![\[No\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-no.png)Tidak |
| Enkripsi saat istirahat menggunakan kunci KMS yang dikelola pelanggan | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[No\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-no.png)Tidak | ![\[No\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-no.png)Tidak |
| Mereplikasi Pusat Identitas IAM ke Wilayah tambahan | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[No\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-no.png)Tidak | ![\[No\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-no.png)Tidak |
Untuk informasi selengkapnya tentang aplikasi AWS terkelola dan Pusat Identitas IAM, lihat[AWS aplikasi terkelola yang dapat Anda gunakan dengan IAM Identity Center](awsapps-that-work-with-identity-center.md).
**Topics**
+ [Akun AWS jenis yang dapat mengaktifkan Pusat Identitas IAM](#identity-center-instances-account-types)
+ [Contoh organisasi Pusat Identitas IAM](organization-instances-identity-center.md)
+ [Instans akun Pusat Identitas IAM](account-instances-identity-center.md)
+ [Hapus instans Pusat Identitas IAM Anda](delete-config.md)
# Contoh organisasi Pusat Identitas IAM
Ketika Anda mengaktifkan IAM Identity Center dalam hubungannya dengan AWS Organizations, Anda membuat instance organisasi dari IAM Identity Center. Instans organisasi Anda harus diaktifkan di akun manajemen Anda dan Anda dapat mengelola akses pengguna dan grup secara terpusat dengan satu instans organisasi. Anda hanya dapat memiliki satu instans organisasi untuk setiap akun manajemen AWS Organizations.
Jika Anda mengaktifkan Pusat Identitas IAM sebelum 15 November 2023, Anda memiliki instance organisasi Pusat Identitas IAM.
Untuk mengaktifkan instance organisasi dari IAM Identity Center, lihat[Untuk mengaktifkan instance dari IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance).
## Kapan menggunakan instance organisasi
Sebuah instance organisasi adalah metode utama untuk mengaktifkan IAM Identity Center dan biasanya, sebuah instance organisasi direkomendasikan. Contoh organisasi menawarkan manfaat berikut:
+ **Support untuk semua fitur IAM Identity Center** — Termasuk mengelola izin untuk beberapa Akun AWS di organisasi Anda, menetapkan akses ke aplikasi yang dikelola pelanggan, dan replikasi Multi-wilayah.
+ **Pengurangan jumlah poin manajemen** — Sebuah contoh organisasi memiliki titik manajemen tunggal, akun manajemen. Sebaiknya aktifkan instans organisasi, bukan instans akun, untuk mengurangi jumlah poin manajemen.
+ **Kontrol pusat pembuatan instans akun** — Anda dapat mengontrol apakah instans akun dapat dibuat oleh akun anggota di organisasi Anda selama Anda belum menerapkan instance Pusat Identitas IAM ke organisasi Anda di Wilayah keikutsertaan (Wilayah AWS yang dinonaktifkan secara default).
Untuk petunjuk tentang mengaktifkan instance organisasi dari IAM Identity Center, lihat. [Untuk mengaktifkan instance dari IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance)
# Instans akun Pusat Identitas IAM
Dengan instance akun IAM Identity Center, Anda dapat menerapkan aplikasi terkelola yang didukung dan aplikasi yang AWS dikelola pelanggan berbasis OIDC. Instans akun mendukung penerapan aplikasi yang terisolasi dalam satu Akun AWS, memanfaatkan identitas tenaga kerja IAM Identity Center dan mengakses fitur portal.
Instans akun terikat pada satu Akun AWS dan hanya digunakan untuk mengelola akses pengguna dan grup untuk aplikasi yang didukung di akun yang sama dan Wilayah AWS. Anda dibatasi untuk satu contoh akun per Akun AWS. Anda dapat membuat instance akun dari salah satu dari berikut ini: akun anggota di AWS Organizations atau akun mandiri Akun AWS yang tidak dikelola oleh AWS Organizations.
Untuk petunjuk cara mengaktifkan instance akun IAM Identity Center, lihat [Untuk mengaktifkan instance dari IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance) dan pilih tab **Akun**.
## Kapan menggunakan instance akun
Dalam kebanyakan kasus, [contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Gunakan instance akun hanya jika salah satu skenario berikut berlaku:
+ Anda ingin menjalankan uji coba sementara aplikasi AWS terkelola yang didukung untuk menentukan apakah aplikasi tersebut sesuai dengan kebutuhan bisnis Anda.
+ Anda tidak memiliki rencana untuk mengadopsi IAM Identity Center di seluruh organisasi Anda, tetapi Anda ingin mendukung satu atau lebih aplikasi AWS terkelola.
+ Anda memiliki instans organisasi IAM Identity Center, tetapi Anda ingin menerapkan aplikasi AWS terkelola yang didukung ke kumpulan pengguna terisolasi yang berbeda dari pengguna di instans organisasi Anda.
+ Anda tidak mengontrol AWS organisasi tempat Anda beroperasi. Misalnya, pihak ketiga mengontrol AWS organisasi yang mengelola Anda Akun AWS.
**penting**
Jika Anda berencana menggunakan IAM Identity Center untuk mendukung aplikasi di beberapa akun, gunakan instans organisasi. Instans akun tidak mendukung kasus penggunaan ini.
## AWS aplikasi terkelola yang mendukung instance akun
Lihat [AWS aplikasi terkelola yang dapat Anda gunakan dengan IAM Identity Center](awsapps-that-work-with-identity-center.md) untuk mempelajari aplikasi AWS terkelola mana yang mendukung instans akun Pusat Identitas IAM. Verifikasi ketersediaan pembuatan instans akun dengan aplikasi AWS terkelola Anda.
## Kendala ketersediaan untuk akun anggota
Untuk menyebarkan instans akun Pusat Identitas IAM di akun AWS Organizations anggota, salah satu kondisi berikut harus benar:
+ Tidak ada contoh organisasi dari IAM Identity Center di organisasi Anda.
+ Ada instance organisasi Pusat Identitas IAM di organisasi Anda dan administrator instans mengizinkan pembuatan instance akun Pusat Identitas IAM (untuk instans organisasi yang dibuat setelah 15 November 2023).
+ Ada instans organisasi Pusat Identitas IAM di organisasi Anda dan administrator instans mengaktifkan pembuatan instans akun secara manual oleh akun anggota di organisasi (untuk instans organisasi yang dibuat sebelum 15 November 2023). Untuk petunjuk, lihat [Izinkan pembuatan instans akun di akun anggota](enable-account-instance-console.md).
Setelah salah satu kondisi sebelumnya terpenuhi, semua kondisi berikut harus benar:
+ Administrator Anda belum membuat [Kebijakan Kontrol Layanan](control-account-instance.md) yang mencegah akun anggota membuat instance akun.
+ Anda belum memiliki instance IAM Identity Center di akun yang sama ini, terlepas dari Wilayah AWS itu.
+ Anda bekerja di Wilayah AWS tempat Pusat Identitas IAM tersedia. Untuk informasi tentang Wilayah, lihat[Penyimpanan dan operasi data Wilayah Pusat Identitas IAM](regions.md).
## Pertimbangan contoh akun
Instans akun dirancang untuk kasus penggunaan khusus, dan menawarkan subset fitur yang tersedia untuk instance organisasi. Pertimbangkan hal berikut sebelum membuat instance akun:
+ Instans akun tidak mendukung set izin dan oleh karena itu tidak mendukung akses ke Akun AWS.
+ Anda tidak dapat mengonversi atau menggabungkan instance akun menjadi instance organisasi.
+ Hanya pilih [aplikasi AWS terkelola](awsapps-that-work-with-identity-center.md) yang mendukung instans akun.
+ Gunakan instance akun untuk pengguna terisolasi yang akan menggunakan aplikasi dalam satu akun saja dan seumur hidup aplikasi yang digunakan.
+ Aplikasi yang dilampirkan ke instance akun harus tetap dilampirkan ke instance akun sampai Anda menghapus aplikasi dan sumber dayanya.
+ Contoh akun harus tetap berada di Akun AWS tempat pembuatannya.
# Izinkan pembuatan instans akun di akun anggota
Jika Anda mengaktifkan Pusat Identitas IAM sebelum 15 November 2023, Anda memiliki [instans organisasi](organization-instances-identity-center.md) Pusat Identitas IAM dengan kemampuan akun anggota untuk membuat instance akun dinonaktifkan secara default. Anda dapat memilih apakah akun anggota Anda dapat membuat instance akun dengan mengaktifkan fitur instans akun di konsol Pusat Identitas IAM.
**Untuk mengaktifkan pembuatan instans akun oleh akun anggota di organisasi Anda**
**penting**
Mengaktifkan instance akun Pusat Identitas IAM untuk akun anggota adalah operasi satu kali. Ini berarti bahwa operasi ini tidak dapat dibalik. Setelah diaktifkan, Anda dapat membatasi pembuatan instance akun dengan membuat kebijakan kontrol layanan (SCP). Untuk petunjuknya, lihat [Mengontrol pembuatan instans akun dengan Kebijakan Kontrol Layanan](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html).
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**, lalu pilih tab **Manajemen**.
1. Di bagian **Instance Akun Pusat Identitas IAM, pilih Aktifkan instans akun dari Pusat** **Identitas IAM**.
1. **Di kotak dialog **Aktifkan instance akun Pusat Identitas IAM**, konfirmasikan bahwa Anda ingin mengizinkan akun anggota di organisasi Anda untuk membuat instance akun dengan memilih Aktifkan.**
# Gunakan Kebijakan Kontrol Layanan untuk mengontrol pembuatan instans akun
Kemampuan akun anggota untuk membuat instance akun bergantung pada saat Anda mengaktifkan Pusat Identitas IAM:
+ **Sebelum November 2023** — Anda harus [mengizinkan pembuatan instans akun di akun anggota](enable-account-instance-console.md), yang merupakan tindakan yang tidak dapat dibalik.
+ **Setelah 15 November 2023** — Akun anggota dapat membuat instance akun secara default.
Dalam kedua kasus tersebut, Anda dapat menggunakan Kebijakan Kontrol Layanan (SCPs) untuk:
+ Cegah semua akun anggota membuat instance akun.
+ Izinkan hanya akun anggota tertentu untuk membuat instance akun.
## Mencegah instans akun
Gunakan prosedur berikut untuk menghasilkan SCP yang mencegah akun anggota membuat instance akun IAM Identity Center.
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Di **Dasbor**, di bagian **Manajemen pusat**, pilih tombol **Cegah instans akun**.
1. Di kotak dialog **Lampirkan SCP untuk mencegah pembuatan instance akun baru**, SCP disediakan untuk Anda. Salin SCP dan pilih tombol **Go to SCP dashboard**. Anda akan diarahkan ke [AWS Organizations konsol](https://console.aws.amazon.com/organizations/v2) untuk membuat SCP atau melampirkannya sebagai pernyataan ke SCP yang ada. SCPs adalah fitur dari AWS Organizations. *Untuk petunjuk tentang melampirkan SCP, lihat [Melampirkan dan melepaskan kebijakan kontrol layanan](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) di Panduan Pengguna.AWS Organizations *
## Batasi instans akun
Alih-alih mencegah semua pembuatan instans akun, kebijakan ini menolak upaya apa pun untuk membuat instance akun Pusat Identitas IAM untuk semua Akun AWS kecuali yang secara eksplisit tercantum dalam placeholder. *""*
**Example : Tolak kebijakan untuk membatasi pembuatan instance akun**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ Ganti [*""*] dengan Akun AWS ID aktual yang ingin Anda izinkan untuk membuat instance akun IAM Identity Center.
+ Anda dapat mencantumkan beberapa akun yang diizinkan IDs dalam format array: [*"111122223333", "444455556666"*].
+ Lampirkan kebijakan ini ke SCP organisasi Anda untuk menerapkan kontrol terpusat atas pembuatan instans akun IAM Identity Center.
*Untuk petunjuk tentang melampirkan SCP, lihat [Melampirkan dan melepaskan kebijakan kontrol layanan](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) di Panduan Pengguna.AWS Organizations *
# Hapus instans Pusat Identitas IAM Anda
Ketika instance IAM Identity Center dihapus, semua data dalam instance itu dihapus dan tidak dapat dipulihkan. Tabel berikut menjelaskan data apa yang dihapus berdasarkan jenis direktori yang dikonfigurasi di IAM Identity Center.
| Data apa yang akan dihapus | Direktori terhubung - AWS Managed Microsoft AD, AD Connector, atau penyedia identitas eksternal | Toko identitas Pusat Identitas IAM |
| --- | --- | --- |
| Semua set izin yang telah Anda konfigurasikan Akun AWS | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya |
| Semua aplikasi yang telah Anda konfigurasikan di IAM Identity Center | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya |
| Semua tugas pengguna yang telah Anda konfigurasikan untuk Akun AWS dan aplikasi | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya |
| Semua pengguna dan grup di direktori atau toko | N/A | ![\[Yes\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/icon-yes.png)Ya |
Jika Anda mereplikasi instans Pusat Identitas IAM Anda ke Wilayah tambahan, Anda harus menghapus Wilayah tersebut sebelum menghapus instance.
Gunakan prosedur berikut untuk menghapus instans IAM Identity Center Anda.
**Untuk menghapus instans Pusat Identitas IAM Anda**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pada panel navigasi kiri, pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Manajemen**.
1. Di bagian **konfigurasi Delete IAM Identity Center**, pilih **Delete**.
1. Dalam dialog **konfigurasi Delete IAM Identity Center**, pilih setiap kotak centang untuk mengetahui bahwa Anda memahami bahwa data Anda akan dihapus. Ketik instans Pusat Identitas IAM Anda di kotak teks, lalu pilih **Konfirmasi**.