Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Nozioni di base sul Centro identità IAM
Di seguito viene descritto come iniziare a utilizzare IAM Identity Center.
1. **Abilita IAM Identity Center**
Quando [abiliti IAM Identity Center](enable-identity-center.md), scegli tra due tipi di istanze IAM Identity Center. Questi tipi sono: [*istanze organizzative (consigliate) e istanze*](organization-instances-identity-center.md) di [*account*](account-instances-identity-center.md). Per ulteriori informazioni sulle diverse funzionalità di questi tipi di istanze, consulta le [istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).
**Nota**
Dopo aver abilitato IAM Identity Center, puoi accedere e aprire la [console IAM Identity Center](https://console.aws.amazon.com//singlesignon/) effettuando una delle seguenti operazioni:
**Istanza dell'organizzazione**: accedi AWS utilizzando credenziali con autorizzazioni amministrative nell'account di gestione.
**Istanza dell'account**: accedi AWS utilizzando credenziali con autorizzazioni amministrative nell'area in Account AWS cui è abilitato IAM Identity Center.
1. **Connect la tua fonte di identità a IAM Identity Center**
Nella console IAM Identity Center, conferma la fonte di identità che desideri utilizzare. Vedi quanto segue per le fonti di identità:
+ **Provider di identità esterno**: se disponi di un provider di identità esistente per gestire gli utenti della forza lavoro, puoi collegarlo a IAM Identity Center. Per ulteriori informazioni su come configurare i provider di identità di uso comune per l'utilizzo con IAM Identity Center, consulta[Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md).
+ **Active Directory**: se utilizzi Active Directory per gestire gli utenti della forza lavoro, puoi collegarlo a IAM Identity Center. Per ulteriori informazioni, consulta [Utilizzo di Active Directory come origine di identità](gs-ad.md).
+ **IAM Identity Center** - In alternativa, puoi [creare e gestire utenti e gruppi direttamente in IAM Identity Center](quick-start-default-idc.md).
**Nota**
Attualmente, è necessario utilizzare un provider di identità esterno come fonte di identità per sfruttare una configurazione multiregionale con IAM Identity Center. Per ulteriori informazioni sui vantaggi di questa configurazione, consulta. [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md)
1. **Configurare l'accesso utente a Account AWS (solo istanza dell'organizzazione)**
Se utilizzi un'istanza organizzativa di IAM Identity Center, puoi [assegnare l'accesso a utenti o gruppi Account AWS](https://docs.aws.amazon.com//singlesignon/latest/userguide/assignusers.html), utilizzando [set di autorizzazioni](https://docs.aws.amazon.com//singlesignon/latest/userguide/permissionsetsconcept.html) per concedere agli utenti l'accesso a Account AWS e risorse.
1. **Configura l'accesso degli utenti alle applicazioni**
Con IAM Identity Center, puoi concedere agli utenti l'accesso a due tipi di applicazioni:
1. **[AWS applicazioni gestite](awsapps.md)**
+ Puoi utilizzare IAM Identity Center con applicazioni AWS gestite come Amazon Q Business e Amazon Redshift. AWS CLI Per ulteriori informazioni, consultare [AWS applicazioni gestite](awsapps.md) e [Integrazione della AWS CLI con IAM Identity Center](integrating-aws-cli.md).
1. **[Applicazioni gestite dal cliente](customermanagedapps.md)**
+ Puoi integrare uno dei seguenti tipi di applicazioni gestite dai clienti con IAM Identity Center:
+ [Applicazioni elencate nel catalogo IAM Identity Center](saasapps.md)
+ [Le tue applicazioni personalizzate](customermanagedapps-set-up-your-own-app-saml2.md)
+ Dopo aver configurato l'applicazione, puoi [assegnare agli utenti l'accesso all'](assignuserstoapp.md)applicazione.
1. **Fornisci agli utenti le istruzioni di accesso per il portale di accesso AWS **
Il portale di AWS accesso è un portale web che fornisce agli utenti un accesso senza interruzioni a tutte le applicazioni loro assegnate o a Account AWS entrambe. I nuovi utenti in IAM Identity Center devono attivare le proprie credenziali utente prima di poter accedere al portale di AWS accesso.
Per informazioni su come accedere al portale di AWS accesso, consulta [Accedere al portale di AWS accesso nella](https://docs.aws.amazon.com//signin/latest/userguide/iam-id-center-sign-in-tutorial.html) *Guida per l'Accedi ad AWS utente*. Per ulteriori informazioni sulla procedura di accesso per il portale di AWS accesso, consulta [Accesso al portale di AWS accesso](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtosignin.html).
# Prerequisiti e considerazioni di IAM Identity Center
Puoi utilizzare IAM Identity Center per accedere solo alle applicazioni AWS gestite, Account AWS solo o entrambe. Se utilizzi la federazione IAM per gestire l'accesso a Account AWS, puoi continuare a farlo utilizzando IAM Identity Center per l'accesso alle applicazioni.
Prima di abilitare IAM Identity Center, considera quanto segue:
+ AWS Regione
Per prima cosa abiliti IAM Identity Center in un'unica regione [supportata](regions.md) per ogni istanza di IAM Identity Center. Se desideri utilizzare IAM Identity Center per l'accesso Single Sign-On agli AWS account, la regione deve essere accessibile a tutti gli utenti della tua organizzazione. Se prevedi di utilizzare IAM Identity Center per l'accesso alle applicazioni, tieni presente che alcune applicazioni AWS gestite, come Amazon SageMaker AI, possono funzionare solo nelle regioni che supportano. Inoltre, la maggior parte delle applicazioni AWS gestite richiede che IAM Identity Center sia disponibile nella stessa regione dell'applicazione. Ciò può essere ottenuto collocandole nella stessa regione o, se supportata, replicando l'istanza di IAM Identity Center nella regione di distribuzione desiderata di un' AWS applicazione gestita. Per ulteriori informazioni, consulta [Considerazioni per la scelta di un Regione AWS](identity-center-region-considerations.md).
+ Solo accesso alle applicazioni
Puoi utilizzare IAM Identity Center solo per l'accesso degli utenti ad applicazioni come Kiro, utilizzando il tuo provider di identità esistente. Per ulteriori informazioni, consulta [Utilizzo di IAM Identity Center solo per l'accesso degli utenti alle applicazioni](identity-center-for-apps-only.md).
**Nota**
L'accesso alle risorse dell'applicazione è gestito in modo indipendente dal proprietario dell'applicazione.
+ Quota per i ruoli IAM
IAM Identity Center crea ruoli IAM per fornire agli utenti le autorizzazioni per accedere alle risorse dell'account. Per ulteriori informazioni, consulta [Ruoli IAM creati da IAM Identity Center](identity-center-and-iam-roles.md).
+ IAM Identity Center e AWS Organizations
AWS Organizations è consigliato, ma non obbligatorio, per l'uso con IAM Identity Center. Se non hai creato un'organizzazione, non è necessario. Se hai già configurato AWS Organizations e intendi aggiungere IAM Identity Center alla tua organizzazione, assicurati che tutte le AWS Organizations funzionalità siano abilitate. Per ulteriori informazioni, consulta [IAM Identity Center e AWS Organizations](identity-center-and-orgs.md).
Le interfacce web di IAM Identity Center, tra cui il portale di accesso e la console IAM Identity Center, sono pensate per essere accessibili agli esseri umani tramite i browser Web supportati. I browser compatibili includono le ultime tre versioni di Microsoft Edge, Mozilla Firefox, Google Chrome e Apple Safari. L'accesso a questi endpoint utilizzando percorsi non basati su browser non è supportato. Per l'accesso programmatico ai servizi IAM Identity Center, consigliamo di utilizzare la documentazione APIs disponibile nelle guide di riferimento delle API IAM Identity Center e Identity Store.
# Considerazioni per la scelta di un Regione AWS
Puoi abilitare IAM Identity Center in un'unica soluzione, supportata Regione AWS a tua scelta e disponibile per gli utenti di tutto il mondo. Questa disponibilità globale semplifica la configurazione dell'accesso degli utenti a più Account AWS applicazioni. Di seguito sono riportate le considerazioni chiave per la scelta di un Regione AWS.
+ **Posizione geografica dei tuoi utenti**: quando selezioni una regione geograficamente più vicina alla maggior parte dei tuoi utenti finali, questi avranno una latenza di accesso inferiore al portale di accesso e AWS alle applicazioni AWS gestite, come Amazon AI. SageMaker
+ Regioni di **attivazione (regioni disabilitate per impostazione predefinita)**: una regione opt-in è una Regione AWS regione disabilitata per impostazione predefinita. Per utilizzare una regione che richiede l'attivazione, è necessario abilitarla. Per ulteriori informazioni, consulta [Managing IAM Identity Center in una regione opt-in](regions.md#manually-enabled-regions).
+ **Replica di IAM Identity Center in altre regioni**: se prevedi di replicare IAM Identity Center in altre regioni Regioni AWS, devi scegliere una regione abilitata per impostazione predefinita. Per ulteriori informazioni, consulta [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md).
+ **Scelta delle regioni di distribuzione per le applicazioni AWS AWS gestite**: le applicazioni gestite possono funzionare solo nelle aree Regioni AWS in cui sono disponibili. Molte applicazioni AWS gestite possono inoltre funzionare solo in una regione in cui è abilitato o replicato IAM Identity Center (regione principale o aggiuntiva). Per confermare se l'istanza di IAM Identity Center supporta la replica in regioni aggiuntive, consulta. [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md) Se la replica non è un'opzione, valuta la possibilità di abilitare IAM Identity Center nella regione in cui prevedi di utilizzare le applicazioni AWS gestite.
+ **Sovranità digitale**: le normative sulla sovranità digitale o le politiche aziendali possono imporre l'uso di una particolare. Regione AWS Rivolgiti all'ufficio legale della tua azienda.
+ **Origine dell'identità**: se utilizzi [AWS Managed Microsoft AD](connectawsad.md)o la tua directory gestita automaticamente in Active [Directory (AD)](connectonpremad.md) come origine dell'identità, la sua regione di origine deve corrispondere Regione AWS a quella in cui hai abilitato IAM Identity Center.
+ Email **interregionali con Amazon Simple Email Service**: in alcune regioni, IAM Identity Center può chiamare [Amazon Simple Email Service (Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)) in un'altra regione per inviare e-mail. In queste chiamate interregionali, IAM Identity Center invia determinati attributi utente all'altra regione. Per ulteriori informazioni, consulta [Email interregionali con Amazon SES](regions.md#cross-region-calls).
+ **AWS Control Tower**— Se stai abilitando un'istanza organizzativa di IAM Identity Center da AWS Control Tower, l'istanza verrà creata nella stessa regione della AWS Control Tower landing zone.
**Topics**
+ [Archiviazione e operazioni dei dati della regione IAM Identity Center](regions.md)
+ [Cambio Regioni AWS](switching-regions.md)
+ [Disabilitazione di un Regione AWS punto in cui IAM Identity Center è abilitato](disabling-region-with-identity-center.md)
# Archiviazione e operazioni dei dati della regione IAM Identity Center
Scopri come IAM Identity Center gestisce l'archiviazione e le operazioni dei dati in tutto il mondo Regioni AWS.
## Scopri come IAM Identity Center archivia i dati
Quando abiliti IAM Identity Center, tutti i dati che configuri in IAM Identity Center vengono archiviati nella regione in cui li hai abilitati. Questi dati includono configurazioni di directory, set di autorizzazioni, istanze di applicazioni e assegnazioni di utenti alle applicazioni. Account AWS Se utilizzi l'archivio di identità IAM Identity Center, anche tutti gli utenti e i gruppi che crei in IAM Identity Center vengono archiviati nella stessa regione. Se replichi l'istanza di IAM Identity Center in regioni aggiuntive, IAM Identity Center replica automaticamente utenti, gruppi, set di autorizzazioni e relative assegnazioni e altri metadati e configurazioni in tali regioni.
## Email interregionali con Amazon SES
IAM Identity Center utilizza [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) per inviare e-mail agli utenti finali quando tentano di accedere con una password monouso (OTP) come secondo fattore di autenticazione. Queste e-mail vengono inviate anche per determinati eventi di gestione di identità e credenziali, ad esempio quando l'utente viene invitato a configurare una password iniziale, a verificare un indirizzo e-mail e a reimpostare la password. Amazon SES è disponibile in un sottoinsieme di Regioni AWS quelli supportati da IAM Identity Center.
IAM Identity Center chiama gli endpoint locali di Amazon SES quando Amazon SES è disponibile localmente in un Regione AWS. Quando Amazon SES non è disponibile localmente, IAM Identity Center chiama gli endpoint Amazon SES in un altro modo Regione AWS, come indicato nella tabella seguente.
| Codice regionale IAM Identity Center | Nome della regione IAM Identity Center | Codice regionale Amazon SES | Nome della regione Amazon SES |
| --- | --- | --- | --- |
| ap-east-1 | Asia Pacifico (Hong Kong) | ap-northeast-2 | Asia Pacifico (Seul) |
| ap-east-2 | Asia Pacifico (Taipei) | ap-northeast-1 | Asia Pacifico (Tokyo) |
| ap-south-2 | Asia Pacifico (Hyderabad) | ap-south-1 | Asia Pacifico (Mumbai) |
| ap-southeast-4 | Asia Pacifico (Melbourne) | ap-southeast-2 | Asia Pacifico (Sydney) |
| ap-southeast-5 | Asia Pacifico (Malesia) | ap-southeast-1 | Asia Pacifico (Singapore) |
| ap-southeast-6 | Asia Pacifico (Nuova Zelanda) | ap-southeast-2 | Asia Pacifico (Sydney) |
| ap-southeast-7 | Asia Pacifico (Thailandia) | ap-northeast-3 | Asia Pacifico (Osaka) |
| ca-west-1 | Canada occidentale (Calgary) | ca-central-1 | Canada (Centrale) |
| eu-south-2 | Europa (Spagna) | eu-west-3 | Europa (Parigi) |
| eu-central-2 | Europa (Zurigo) | eu-central-1 | Europa (Francoforte) |
| mx-central-1 | Messico (centrale) | us-east-2 | Stati Uniti orientali (Ohio) |
| me-central-1 | Medio Oriente (Emirati Arabi Uniti) | eu-central-1 | Europa (Francoforte) |
| us-gov-east-1 | AWS GovCloud (Stati Uniti orientali) | us-gov-west-1 | AWS GovCloud (Stati Uniti occidentali) |
In queste chiamate interregionali, IAM Identity Center potrebbe inviare i seguenti attributi utente:
+ Indirizzo e-mail
+ Nome
+ Cognome
+ Account in AWS Organizations
+ AWS accedere all'URL del portale
+ Username
+ ID della directory
+ ID utente
## Gestione di IAM Identity Center in una regione opzionale (regione disabilitata per impostazione predefinita)
La Regioni AWS maggior parte è abilitata per le operazioni in tutti i AWS servizi per impostazione predefinita, ma è necessario abilitare le seguenti [regioni opt-in](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion) se si desidera utilizzare IAM Identity Center:
+ Africa (Città del Capo)
+ Asia Pacifico (Hong Kong)
+ Asia Pacifico (Taipei)
+ Asia Pacifico (Hyderabad)
+ Asia Pacifico (Giacarta)
+ Asia Pacifico (Melbourne)
+ Asia Pacifico (Malesia)
+ Asia Pacifico (Nuova Zelanda)
+ Asia Pacifico (Thailandia)
+ Canada occidentale (Calgary)
+ Europa (Milano)
+ Europa (Spagna)
+ Europa (Zurigo)
+ Israele (Tel Aviv)
+ Messico (centrale)
+ Medio Oriente (Bahrein)
+ Medio Oriente (Emirati Arabi Uniti)
Se distribuisci IAM Identity Center in una regione opzionale, devi abilitare questa regione in tutti gli account per i quali desideri gestire l'accesso a IAM Identity Center. Tutti gli account necessitano di questa configurazione, indipendentemente dal fatto che tu crei o meno risorse in quella regione. Puoi abilitare una regione per gli account correnti della tua organizzazione e devi ripetere questa azione quando aggiungi nuovi account. Per istruzioni, consulta [Abilitare o disabilitare una regione nella tua organizzazione](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) nella *Guida AWS Organizations per l'utente*. Per evitare di ripetere questi passaggi aggiuntivi, puoi scegliere di implementare il tuo IAM Identity Center in una [regione abilitata per impostazione predefinita](#regions-enabled-by-default).
**Nota**
Il tuo account AWS membro deve essere inserito nella stessa regione della regione di attivazione in cui si trova l'istanza IAM Identity Center, in modo da poter accedere all'account del AWS membro dal portale di accesso. AWS
**Metadati archiviati nelle regioni che accettano l'iscrizione**
Quando abiliti IAM Identity Center per un account di gestione con un opt-in Regione AWS, i seguenti metadati IAM Identity Center per tutti gli account membro vengono archiviati nella regione.
+ ID account
+ Account name (Nome account)
+ Email dell'account
+ Amazon Resource Names (ARNs) dei ruoli IAM creati da IAM Identity Center nell'account del membro
## Regioni AWS che sono abilitati per impostazione predefinita
Le seguenti regioni sono abilitate per impostazione predefinita ed è possibile abilitare IAM Identity Center in queste regioni.
+ Stati Uniti orientali (Ohio)
+ Stati Uniti orientali (Virginia settentrionale)
+ Stati Uniti occidentali (Oregon)
+ Stati Uniti occidentali (California settentrionale)
+ Europa (Parigi)
+ Sud America (San Paolo)
+ Asia Pacifico (Mumbai)
+ Europa (Stoccolma)
+ Asia Pacifico (Seul)
+ Asia Pacifico (Tokyo)
+ Europa (Irlanda)
+ Europa (Francoforte)
+ Europa (Londra)
+ Asia Pacifico (Singapore)
+ Asia Pacifico (Sydney)
+ Canada (Centrale)
+ Asia Pacifico (Osaka)
# Cambio Regioni AWS
Ti consigliamo di installare IAM Identity Center in una regione che intendi mantenere disponibile per gli utenti, non in una regione che potresti dover disabilitare. Per ulteriori informazioni, consulta [Considerazioni per la scelta di un Regione AWS](identity-center-region-considerations.md).
Puoi cambiare la tua regione di IAM Identity Center solo [eliminando l'istanza corrente di IAM Identity Center](delete-config.md) e creando un'istanza in un'altra regione. Se hai già abilitato un'applicazione AWS gestita con l'istanza IAM Identity Center esistente, disabilita l'applicazione prima di eliminare IAM Identity Center. Per istruzioni sulla disabilitazione delle applicazioni AWS gestite, consulta. [Disabilitazione di un'applicazione gestita AWS](awsapps-remove.md)
**Nota**
Se stai pensando di cambiare la tua regione di IAM Identity Center per consentire la distribuzione di un'applicazione AWS gestita in un'altra regione, prendi in considerazione la possibilità di replicare l'istanza di IAM Identity Center in quella regione. Per ulteriori informazioni, consulta [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md).
**Considerazioni sulla configurazione nella nuova regione**
È necessario ricreare utenti, gruppi, set di autorizzazioni, applicazioni e assegnazioni nella nuova istanza di IAM Identity Center. Puoi utilizzare l'account IAM Identity Center e l'assegnazione dell'applicazione [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)per ottenere un'istantanea della configurazione e quindi utilizzarla per ricostruire la configurazione in una nuova regione. Il passaggio a una regione diversa modifica anche l'URL del [portale di AWS accesso](using-the-portal.md), che fornisce agli utenti l'accesso Single Sign-On alle proprie applicazioni. Account AWS Potrebbe inoltre essere necessario ricreare alcune configurazioni di IAM Identity Center tramite la console di gestione della nuova istanza.
# Disabilitazione di un Regione AWS punto in cui IAM Identity Center è abilitato
Se si disabilita un sistema Regione AWS in cui è installato IAM Identity Center, viene disabilitato anche IAM Identity Center. Dopo che IAM Identity Center è stato disabilitato in una regione, gli utenti di quella regione non avranno accesso Single Sign-On Account AWS alle applicazioni.
Per riattivare IAM Identity Center in [modalità opt-in Regioni AWS](regions.md#manually-enabled-regions), devi riattivare la regione. Poiché IAM Identity Center deve rielaborare tutti gli eventi in pausa, la riattivazione di IAM Identity Center potrebbe richiedere del tempo.
**Nota**
IAM Identity Center può gestire l'accesso solo a Account AWS quelli abilitati per l'uso in un. Regione AWS Per gestire l'accesso a tutti gli account della tua organizzazione, abilita IAM Identity Center nell'account di gestione in un account Regione AWS che viene attivato automaticamente per l'uso con IAM Identity Center.
Per ulteriori informazioni sull'attivazione e la disabilitazione Regioni AWS, consulta [Managing Regioni AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) nella *Guida AWS generale.*
# Utilizzo di IAM Identity Center solo per l'accesso degli utenti alle applicazioni
Puoi utilizzare IAM Identity Center per l'accesso degli utenti ad applicazioni come Kiro o a Account AWS entrambe. Puoi connettere il tuo provider di identità esistente e sincronizzare utenti e gruppi dalla tua directory, oppure [creare e gestire gli utenti direttamente in IAM Identity Center](quick-start-default-idc.md). Per informazioni su come connettere il tuo provider di identità esistente a IAM Identity Center, consulta il[Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md).
**Usi già IAM per l'accesso a Account AWS?**
Non è necessario apportare modifiche ai Account AWS flussi di lavoro correnti per utilizzare IAM Identity Center per accedere alle applicazioni AWS gestite. Se utilizzi la [federazione con IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam) per Account AWS l'accesso, i tuoi utenti possono continuare ad accedere Account AWS nello stesso modo in cui hanno sempre fatto e tu puoi continuare a utilizzare i flussi di lavoro esistenti per gestire tale accesso.
# Ruoli IAM creati da IAM Identity Center
Quando assegni un utente a un AWS account, IAM Identity Center crea ruoli IAM per fornire agli utenti le autorizzazioni per accedere alle risorse.
Quando assegni un set di autorizzazioni, IAM Identity Center crea i ruoli IAM corrispondenti controllati da IAM Identity Center in ciascun account e associa le policy specificate nel set di autorizzazioni a tali ruoli. IAM Identity Center gestisce il ruolo e consente agli utenti autorizzati che hai definito di assumere il ruolo, utilizzando il portale di accesso o. AWS AWS CLI Man mano che modifichi il set di autorizzazioni, IAM Identity Center garantisce che le politiche e i ruoli IAM corrispondenti vengano aggiornati di conseguenza. La replica dell'istanza IAM Identity Center in regioni aggiuntive non influisce sui ruoli IAM esistenti e non crea nuovi ruoli IAM.
**Nota**
I set di autorizzazioni non vengono utilizzati per concedere autorizzazioni alle applicazioni.
Se hai già configurato i ruoli IAM nel tuo account Account AWS, ti consigliamo di verificare se il tuo account si sta avvicinando alla quota per i ruoli IAM. La quota predefinita per i ruoli IAM per account è di 1000 ruoli. Per ulteriori informazioni, consulta le [quote degli oggetti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities).
Se ti stai avvicinando alla quota, prendi in considerazione la possibilità di richiedere un aumento della quota. In caso contrario, potresti riscontrare problemi con IAM Identity Center quando fornisci set di autorizzazioni agli account che hanno superato la quota di ruoli IAM. Per informazioni su come richiedere un aumento della quota, vedere [Richiedere un aumento della quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) nella *Service Quotas* User Guide.
**Nota**
Se stai esaminando i ruoli IAM in un account che utilizza già IAM Identity Center, potresti notare che i nomi dei ruoli iniziano con. “AWSReservedSSO\$1” Questi sono i ruoli che il servizio IAM Identity Center ha creato nell'account e derivano dall'assegnazione di un set di autorizzazioni all'account.
# IAM Identity Center e AWS Organizations
AWS Organizations è consigliato, ma non obbligatorio, per l'uso con IAM Identity Center. Se non hai creato un'organizzazione, non è necessario. Quando abiliti IAM Identity Center, sceglierai se abilitare il servizio con AWS Organizations. Quando configuri un'organizzazione, l'account Account AWS che configura l'organizzazione diventa l'account di gestione dell'organizzazione. L'utente root di Account AWS è ora il proprietario dell'account di gestione dell'organizzazione. Tutti gli altri Account AWS che inviti a far parte della tua organizzazione sono account utente. L'account di gestione crea le risorse, le unità organizzative e le politiche dell'organizzazione che gestiscono gli account dei membri. Le autorizzazioni vengono delegate agli account dei membri dall'account di gestione.
**Nota**
Ti consigliamo di abilitare IAM Identity Center con AWS Organizations, che crea un'istanza organizzativa di IAM Identity Center. Un'istanza organizzativa è la nostra best practice consigliata perché supporta tutte le funzionalità di IAM Identity Center e fornisce funzionalità di gestione centralizzate. Per ulteriori informazioni, consulta [Istanze organizzative di IAM Identity Center](organization-instances-identity-center.md).
Se hai già configurato AWS Organizations e intendi aggiungere IAM Identity Center alla tua organizzazione, assicurati che tutte le AWS Organizations funzionalità siano abilitate. Quando si crea un'organizzazione, l'abilitazione di tutte le caratteristiche è l'impostazione predefinita. Per ulteriori informazioni, consulta la sezione [Abilitazione di tutte le caratteristiche nell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) nella *Guida per l'utente di AWS Organizations *.
Per abilitare un'istanza organizzativa di IAM Identity Center, devi accedere a IAM Identity Center Console di gestione AWS accedendo al tuo account di AWS Organizations gestione come utente con credenziali amministrative o come utente root (opzione non consigliata a meno che non esistano altri utenti amministrativi). Per ulteriori informazioni, consulta [Creazione e gestione di un' AWS organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) nella *Guida per l'AWS Organizations utente*.
Se accedi con credenziali amministrative da un account AWS Organizations membro, puoi abilitare un'istanza di account di IAM Identity Center. Le istanze di account hanno funzionalità limitate e sono associate a un singolo AWS account.
# Istanze di organizzazione e account di IAM Identity Center
Un'istanza è una singola implementazione di IAM Identity Center. Sono disponibili due tipi di istanze per IAM Identity Center: istanze *organizzative e istanze* di *account*.
+ Istanza dell'organizzazione (consigliata)
Un'istanza di IAM Identity Center che abiliti nell'account di AWS Organizations gestione. Le istanze organizzative supportano tutte le funzionalità di IAM Identity Center. Ti consigliamo di implementare un'istanza organizzativa anziché istanze di account per ridurre al minimo il numero di punti di gestione.
+ Istanza dell'account
Un'istanza di IAM Identity Center associata a una singola Account AWS istanza e visibile solo all'interno della AWS regione Account AWS e della regione in cui è abilitata. Utilizza un'istanza di account per scenari più semplici con account singolo. Puoi abilitare un'istanza di account da una delle seguenti opzioni:
+ E Account AWS questo non è gestito da AWS Organizations
+ Un account membro in AWS Organizations
## Account AWS tipi che possono abilitare IAM Identity Center
Per abilitare IAM Identity Center, accedi a Console di gestione AWS utilizzando una delle seguenti credenziali, a seconda del tipo di istanza che desideri creare:
+ **Il tuo account di AWS Organizations gestione (consigliato)**: necessario per creare un'[istanza organizzativa](organization-instances-identity-center.md) di IAM Identity Center. Utilizza un'istanza organizzativa per le autorizzazioni multi-account e l'assegnazione di applicazioni in tutta l'organizzazione.
+ **Il tuo account AWS Organizations membro**: utilizza per creare un'[istanza di account](account-instances-identity-center.md) di IAM Identity Center per abilitare le assegnazioni delle applicazioni all'interno di quell'account membro. In un'organizzazione possono esistere uno o più account con un'istanza a livello di membro.
+ **Un'istanza autonoma Account AWS: da** utilizzare per creare un'[istanza organizzativa o un'istanza](organization-instances-identity-center.md) [di account](account-instances-identity-center.md) di IAM Identity Center. La versione standalone Account AWS non è gestita da. AWS OrganizationsÈ possibile associare solo un'istanza di IAM Identity Center a un'istanza standalone Account AWS e utilizzare tale istanza per le assegnazioni di applicazioni all'interno di tale istanza. Account AWS
Utilizza la tabella seguente per confrontare le funzionalità fornite dal tipo di istanza:
| Funzionalità | Istanza nell'account AWS Organizations di gestione (consigliata) | Istanza in un account membro | Istanza in modalità autonoma Account AWS |
| --- | --- | --- | --- |
| Gestisci gli utenti | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì |
| AWS portale di accesso per l'accesso Single Sign-On alle applicazioni gestite AWS | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì |
| OAuth applicazioni gestite dai clienti 2.0 (OIDC) | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì |
| Autorizzazioni per più account | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No |
| AWS portale di accesso per l'accesso Single Sign-On al Account AWS | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No |
| applicazioni gestite dai clienti SAML 2.0 | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No |
| L'amministratore delegato può gestire l'istanza | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No |
| Crittografia inattiva utilizzando una chiave KMS gestita dal cliente | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No |
| Replica di IAM Identity Center in altre regioni | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No |
Per ulteriori informazioni sulle applicazioni AWS gestite e IAM Identity Center, consulta[AWS applicazioni gestite che è possibile utilizzare con IAM Identity Center](awsapps-that-work-with-identity-center.md).
**Topics**
+ [Account AWS tipi che possono abilitare IAM Identity Center](#identity-center-instances-account-types)
+ [Istanze organizzative di IAM Identity Center](organization-instances-identity-center.md)
+ [Istanze account del Centro identità IAM](account-instances-identity-center.md)
+ [Elimina la tua istanza IAM Identity Center](delete-config.md)
# Istanze organizzative di IAM Identity Center
Quando abiliti IAM Identity Center insieme a AWS Organizations, crei un'istanza organizzativa di IAM Identity Center. L’istanza organizzazione deve essere abilitata nel proprio account di gestione ed è possibile gestire centralmente l’accesso di utenti e gruppi con un’unica istanza organizzazione. Puoi avere solo un'istanza organizzativa per ogni account di gestione in AWS Organizations.
Se hai abilitato IAM Identity Center prima del 15 novembre 2023, disponi di un'istanza organizzativa di IAM Identity Center.
Per abilitare un'istanza organizzativa di IAM Identity Center, consulta[Per abilitare un'istanza di IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance).
## Quando utilizzare un'istanza organizzativa
Un'istanza organizzativa è il metodo principale per abilitare IAM Identity Center e di solito è consigliata un'istanza organizzativa. Le istanze organizzative offrono i seguenti vantaggi:
+ **Supporto per tutte le funzionalità di IAM Identity Center**, inclusa la gestione delle autorizzazioni per più utenti dell'organizzazione, l'assegnazione dell'accesso alle applicazioni gestite dal cliente e la replica Account AWS in più regioni.
+ **Riduzione del numero di punti di gestione**: un'istanza organizzativa ha un unico punto di gestione, l'account di gestione. Si consiglia di abilitare un'istanza organizzativa, anziché un'istanza di account, per ridurre il numero di punti di gestione.
+ **Controllo centralizzato della creazione di istanze di account**: puoi controllare se le istanze di account possono essere create dagli account membri della tua organizzazione purché non abbia distribuito un'istanza di IAM Identity Center nell'organizzazione in una regione con consenso esplicito (Regione AWS che è disabilitata per impostazione predefinita).
Per istruzioni su come abilitare un'istanza organizzativa di IAM Identity Center, consulta. [Per abilitare un'istanza di IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance)
# Istanze account del Centro identità IAM
Con un'istanza di account di IAM Identity Center, puoi distribuire applicazioni AWS gestite supportate e applicazioni gestite dai clienti basate su OIDC. Le istanze di account supportano implementazioni isolate di applicazioni in un'unica soluzione Account AWS, sfruttando le funzionalità del portale di accesso e di identità della forza lavoro di IAM Identity Center.
Le istanze di account sono associate a un'unica istanza Account AWS e vengono utilizzate solo per gestire l'accesso di utenti e gruppi alle applicazioni supportate nello stesso account e. Regione AWS Sei limitato a un'istanza di account per. Account AWS Puoi creare un'istanza di account da una delle seguenti opzioni: un account membro in AWS Organizations o un account autonomo Account AWS non gestito da AWS Organizations.
Per istruzioni su come abilitare un'istanza di account di IAM Identity Center, consulta [Per abilitare un'istanza di IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance) e scegli la scheda **Account**.
## Quando utilizzare un'istanza di account
Nella maggior parte dei casi, è consigliata un'[istanza organizzativa](organization-instances-identity-center.md). Utilizza le istanze dell'account solo se si applica uno dei seguenti scenari:
+ Desideri eseguire una versione di prova temporanea di un'applicazione AWS gestita supportata per determinare se l'applicazione soddisfa le tue esigenze aziendali.
+ Non hai intenzione di adottare IAM Identity Center nella tua organizzazione, ma desideri supportare una o più applicazioni AWS gestite.
+ Disponi di un'istanza organizzativa di IAM Identity Center, ma desideri distribuire un'applicazione AWS gestita supportata a un set isolato di utenti distinti dagli utenti dell'istanza della tua organizzazione.
+ Non hai il controllo dell' AWS organizzazione in cui operi. Ad esempio, una terza parte controlla l' AWS organizzazione che gestisce la tua Account AWS.
**Importante**
Se prevedi di utilizzare IAM Identity Center per supportare applicazioni su più account, utilizza un'istanza dell'organizzazione. Le istanze di account non supportano questo caso d'uso.
## AWS applicazioni gestite che supportano le istanze di account
Scopri quali applicazioni AWS gestite supportano le istanze di account di IAM Identity Center. [AWS applicazioni gestite che è possibile utilizzare con IAM Identity Center](awsapps-that-work-with-identity-center.md) Verifica la disponibilità della creazione di istanze di account con la tua applicazione AWS gestita.
## Vincoli di disponibilità per gli account dei membri
Per distribuire le istanze di account di IAM Identity Center negli account dei AWS Organizations membri, deve essere soddisfatta una delle seguenti condizioni:
+ Non esiste un'istanza organizzativa di IAM Identity Center nell'organizzazione.
+ Nell'organizzazione è presente un'istanza organizzativa di IAM Identity Center e l'amministratore dell'istanza consente la creazione di istanze di account di IAM Identity Center (per le istanze dell'organizzazione create dopo il 15 novembre 2023).
+ Nell'organizzazione è presente un'istanza organizzativa di IAM Identity Center e l'amministratore dell'istanza ha abilitato manualmente la creazione di istanze di account da parte degli account dei membri dell'organizzazione (per le istanze dell'organizzazione create prima del 15 novembre 2023). Per istruzioni, consulta [Consenti la creazione di istanze di account negli account dei membri](enable-account-instance-console.md).
Una volta soddisfatta una delle condizioni precedenti, devono essere soddisfatte tutte le seguenti condizioni:
+ L'amministratore non ha creato una [politica di controllo dei servizi](control-account-instance.md) che impedisca agli account dei membri di creare istanze di account.
+ Non hai già un'istanza di IAM Identity Center nello stesso account, a prescindere da. Regione AWS
+ Stai lavorando in un ambiente in Regione AWS cui è disponibile IAM Identity Center. Per informazioni sulle regioni, consulta[Archiviazione e operazioni dei dati della regione IAM Identity Center](regions.md).
## Considerazioni sull'istanza dell'account
Un'istanza di account è progettata per casi d'uso specializzati e offre un sottoinsieme di funzionalità disponibili per un'istanza organizzativa. Considerate quanto segue prima di creare un'istanza di account:
+ Le istanze di account non supportano i set di autorizzazioni e pertanto non supportano l'accesso a Account AWS.
+ Non è possibile convertire o unire un'istanza di account in un'istanza dell'organizzazione.
+ Solo alcune [applicazioni AWS gestite supportano le](awsapps-that-work-with-identity-center.md) istanze di account.
+ Utilizza istanze di account per utenti isolati che utilizzeranno le applicazioni in un solo account e per tutta la durata delle applicazioni utilizzate.
+ Le applicazioni collegate a un'istanza di account devono rimanere collegate all'istanza dell'account fino a quando non si eliminano l'applicazione e le relative risorse.
+ Un'istanza di account deve rimanere nella posizione Account AWS in cui è stata creata.
# Consenti la creazione di istanze di account negli account dei membri
Se hai abilitato IAM Identity Center prima del 15 novembre 2023, hai un'[istanza organizzativa](organization-instances-identity-center.md) di IAM Identity Center con la possibilità per gli account membro di creare istanze di account disabilitata per impostazione predefinita. Puoi scegliere se i tuoi account membro possono creare istanze di account abilitando la funzionalità di istanza dell'account nella console IAM Identity Center.
**Per consentire la creazione di istanze di account da parte degli account dei membri dell'organizzazione**
**Importante**
L'abilitazione delle istanze di account di IAM Identity Center per gli account dei membri è un'operazione una tantum. Ciò significa che questa operazione non può essere annullata. Una volta abilitata, puoi limitare la creazione di istanze di account creando una policy di controllo del servizio (SCP). Per istruzioni, consulta [Controllare la creazione di istanze di account con Services Control](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html) Policies.
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Scegli **Impostazioni**, quindi scegli la scheda **Gestione**.
1. Nella sezione **Istanze di account di IAM Identity Center**, seleziona **Abilita le istanze di account di IAM Identity** Center.
1. **Nella finestra di dialogo **Abilita le istanze di account di IAM Identity Center**, conferma di voler consentire agli account dei membri della tua organizzazione di creare istanze di account selezionando Abilita.**
# Utilizza le politiche di controllo dei servizi per controllare la creazione delle istanze dell'account
La capacità degli account membri di creare istanze di account dipende da quando hai abilitato IAM Identity Center:
+ **Prima di novembre 2023**: devi [consentire la creazione di istanze di account negli account dei membri](enable-account-instance-console.md), un'azione che non può essere annullata.
+ **Dopo il 15 novembre 2023: per impostazione predefinita,** gli account dei membri possono creare istanze di account.
In entrambi i casi, puoi utilizzare Service Control Policies (SCPs) per:
+ Impedire a tutti gli account dei membri di creare istanze di account.
+ Consenti solo ad account membri specifici di creare istanze di account.
## Impedisci le istanze dell'account
Utilizza la seguente procedura per generare un SCP che impedisca agli account dei membri di creare istanze di account di IAM Identity Center.
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Nella **Dashboard**, nella sezione **Gestione centrale**, seleziona il pulsante **Impedisci le istanze dell'account**.
1. Nella finestra di dialogo **Allega SCP per impedire la creazione di nuove istanze di account**, viene fornito un SCP. Copia l'SCP e scegli il pulsante **Vai** al pannello di controllo di SCP. Verrai indirizzato alla [AWS Organizations console](https://console.aws.amazon.com/organizations/v2) per creare l'SCP o allegarlo come dichiarazione a un SCP esistente. SCPs sono una funzionalità di. AWS Organizations*Per istruzioni su come allegare un SCP, consulta [Allegare e scollegare le politiche di controllo del servizio](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) nella Guida per l'utente.AWS Organizations *
## Limita le istanze dell'account
Invece di impedire la creazione di tutte le istanze di account, questa policy impedisce qualsiasi tentativo di creare un'istanza di account di IAM Identity Center per tutti Account AWS tranne quelli esplicitamente elencati nel segnaposto. *""*
**Example : Nega la politica per limitare la creazione di istanze di account**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ Sostituisci [*""*] con gli Account AWS ID effettivi a cui desideri consentire la creazione di un'istanza di account di IAM Identity Center.
+ Puoi elencare più account consentiti IDs nel formato array: [*"111122223333", "444455556666"*].
+ Allega questa policy all'SCP della tua organizzazione per imporre il controllo centralizzato sulla creazione di istanze di account IAM Identity Center.
*Per istruzioni su come allegare un SCP, consulta [Allegare e scollegare le politiche di controllo del servizio nella Guida per l'utente](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html).AWS Organizations *
# Elimina la tua istanza IAM Identity Center
Quando un'istanza IAM Identity Center viene eliminata, tutti i dati in quell'istanza vengono eliminati e non possono essere recuperati. La tabella seguente descrive quali dati vengono eliminati in base al tipo di directory configurata in IAM Identity Center.
| Quali dati vengono eliminati | Directory connessa - AWS Managed Microsoft AD, AD Connector o provider di identità esterno | Archivio di identità IAM Identity Center |
| --- | --- | --- |
| Tutti i set di autorizzazioni per cui hai configurato Account AWS | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì |
| Tutte le applicazioni che hai configurato in IAM Identity Center | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì |
| Tutte le assegnazioni utente Account AWS e le applicazioni che hai configurato | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì |
| Tutti gli utenti e i gruppi presenti nella directory o nell'archivio | N/D | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì |
Se hai replicato l'istanza di IAM Identity Center in regioni aggiuntive, devi rimuovere tali regioni prima di eliminare l'istanza.
Utilizza la seguente procedura per eliminare l'istanza di IAM Identity Center.
**Per eliminare la tua istanza IAM Identity Center**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Nel riquadro di navigazione a sinistra scegliere **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Gestione**.
1. Nella sezione **Elimina la configurazione di IAM Identity Center**, scegli **Elimina**.
1. Nella finestra di dialogo **Elimina la configurazione di IAM Identity Center**, seleziona ogni casella di controllo per confermare di aver compreso che i tuoi dati verranno eliminati. Digita l'istanza di IAM Identity Center nella casella di testo, quindi scegli **Conferma**.