As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitar o IAM Identity Center
<a name="enable-identity-center"></a>

Ao ativar o IAM Identity Center, você escolhe um tipo de Centro de Identidade do AWS IAM instância para habilitar. Uma instância de um serviço é uma implantação única de um serviço em seu AWS ambiente. Há dois tipos de instâncias disponíveis para o IAM Identity Center: instâncias de organização e instâncias de conta. Os tipos de instância disponíveis para você habilitar dependem do tipo de conta na qual você fez login.

A lista a seguir identifica o tipo de instâncias do IAM Identity Center que você pode habilitar para cada tipo de Conta da AWS:
+ **Sua conta AWS Organizations de gerenciamento (recomendada)** — necessária para criar uma [instância organizacional](organization-instances-identity-center.md) do IAM Identity Center. Use uma instância de organização para permissões multicontas e atribuições de aplicações em toda a organização. Você pode replicar esse tipo de instância para regiões adicionais para aumentar a resiliência do acesso à conta e flexibilidade na escolha das regiões de implantação de AWS aplicativos.
+ **Sua conta de AWS Organizations membro** — Use para criar uma [instância de conta](account-instances-identity-center.md) do IAM Identity Center para permitir atribuições de aplicativos dentro dessa conta de membro. Pode haver uma ou mais contas com uma instância de nível de membro em uma organização.
+ **Autônomo Conta da AWS** — Use para criar uma [instância organizacional ou instância](organization-instances-identity-center.md) de [conta](account-instances-identity-center.md) do IAM Identity Center. O autônomo Conta da AWS não é gerenciado por AWS Organizations. Você pode associar somente uma instância do IAM Identity Center a uma instância autônoma Conta da AWS e usar essa instância para atribuições de aplicativos dentro dessa instância autônoma. Conta da AWS

**Importante**  
A conta gerencial da organização pode controlar se [as contas de membro da organização podem criar instâncias de conta do IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html) usando uma Política de Controle de Serviços.  
Se você usa uma conta de nível gratuito, a criação de uma AWS organização atualiza automaticamente sua conta para um plano pago com pay-as-you-go preços. Seus créditos de nível gratuito expiram imediatamente. Para obter mais informações, consulte [Nível gratuito da AWS FAQs](https://aws.amazon.com/free/free-tier-faqs/).

Para obter uma comparação dos diferentes recursos fornecidos pelos diferentes tipos de instância, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).

Antes de habilitar o IAM Identity Center, recomendamos que você revise [Pré-requisitos e considerações sobre o IAM Identity Center](identity-center-prerequisites.md).

## Para habilitar uma instância do IAM Identity Center
<a name="to-enable-identity-center-instance"></a>

Escolha a aba para o tipo de instância do IAM Identity Center que você deseja habilitar, seja uma instância de organização ou conta:

------
#### [ Organization (recommended) ]

1. Realize um dos procedimentos a seguir para fazer login no Console de gerenciamento da AWS.
   + **Novo em AWS (usuário root)** — Faça login como proprietário da conta escolhendo **Usuário raiz** e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha.
   + **Já está usando AWS com uma conta independente Conta da AWS (credenciais do IAM)** — Faça login usando suas credenciais do IAM com permissões administrativas.
   + **Já está usando AWS Organizations (credenciais do IAM)** — Faça login usando as credenciais da sua conta de gerenciamento.

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. (Opcional) Se você quiser usar uma chave KMS gerenciada pelo cliente para criptografia em repouso em vez da chave AWS gerenciada padrão, configure a chave gerenciada pelo cliente na seção **Chave para criptografar dados do IAM Identity Center em repouso**. Para obter mais informações, consulte [Implementando chaves KMS gerenciadas pelo cliente em Centro de Identidade do AWS IAM](identity-center-customer-managed-keys.md).
**Importante**  
Execute essa etapa somente se você tiver configurado as permissões necessárias para o uso da chave KMS gerenciada pelo cliente. Sem as permissões adequadas, essa etapa pode falhar ou interromper a administração e os aplicativos AWS gerenciados do IAM Identity Center.

1. Em **Habilitar o IAM Identity Center**, escolha **Habilitar**.

1. Na página **Habilitar o IAM Identity Center com AWS Organizations**, revise as informações e selecione **Habilitar** para concluir o processo. 
**nota**  
AWS Organizations pode ter o IAM Identity Center ativado somente em uma única AWS região. Depois de habilitar o IAM Identity Center, se você precisar alterar a região em que o IAM Identity Center está habilitado, [exclua](delete-config.md) a instância atual e crie uma instância na outra região. 

Depois de habilitar a instância de organização, recomendamos que você execute as seguintes etapas para concluir a configuração do ambiente:
+ Confirme se você está usando a fonte de identidade de escolha. Se já tiver uma fonte de identidades atribuída, você poderá continuar a usá-la. Para obter mais informações, consulte [Confirmar as fontes de identidades do IAM Identity Center](confirm-identity-source.md).
+ Registre uma conta de membro como administrador delegado. Para obter mais informações, consulte [Administradores delegados](delegated-admin.md).
+ O IAM Identity Center fornece um portal de acesso aos AWS recursos. Se você filtrar o acesso a AWS domínios específicos ou endpoints de URL usando uma solução de filtragem de conteúdo da Web, como firewalls de próxima geração (NGFW) ou Secure Web Gateways (SWG), consulte. [Atualize firewalls e gateways para permitir o acesso ao Portal de acesso da AWS](enable-identity-center-portal-access.md)

------
#### [ Account ]

1. Realize um dos procedimentos a seguir para fazer login no Console de gerenciamento da AWS.
   + **Novo em AWS (usuário root)** — Faça login como proprietário da conta escolhendo **Usuário raiz** e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha.
   + **Já está usando AWS (credenciais do IAM)** — Faça login usando suas credenciais do IAM com permissões administrativas.
   + **Já está usando AWS Organizations (credenciais do IAM)** — Faça login usando as credenciais administrativas da sua conta de membro.

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Se você é novo AWS ou tem um autônomo Conta da AWS, em **Ativar o IAM Identity Center**, escolha **Habilitar**.

   Você vê a página **Habilitar o IAM Identity Center com AWS Organizations**. Esta etapa não é exigida, mas é recomendada.

   Selecione o link **habilitar uma instância de conta do IAM Identity Center**.

1. Se você for administrador de uma conta AWS Organizations membro, em **Habilitar uma instância de conta do IAM Identity Center**, selecione **Habilitar uma instância de conta**.

1. Na página **Habilitar uma instância de conta do IAM Identity Center**, revise as informações e, *opcionalmente*, adicione as tags que você deseja associar a essa instância de conta. Em seguida, selecione **Habilitar** para concluir o processo.
**nota**  
Se sua AWS conta for membro de uma organização, pode haver restrições à sua capacidade de habilitar uma instância de conta do IAM Identity Center.  
Se a organização habilitou o IAM Identity Center antes de 15 de novembro de 2023, a capacidade de contas-membros criarem instâncias de conta está desabilitada por padrão e deve ser habilitada pela conta gerencial da organização.
Se a organização habilitou o IAM Identity Center após 15 de novembro de 2023, a capacidade das contas de membro criarem instâncias de conta está habilitada por padrão. No entanto, as políticas de controle de serviço podem ser usadas para impedir a criação de instâncias de conta do IAM Identity Center dentro de uma organização. 
Para obter mais informações, consulte [Permitir a criação de instâncias de conta em contas de membros](enable-account-instance-console.md) e [Use as Políticas de controle de serviço para controlar a criação de instâncias de conta](control-account-instance.md).

------

# Confirmar as fontes de identidades do IAM Identity Center
<a name="confirm-identity-source"></a>

Sua fonte de identidade no IAM Identity Center define onde seus usuários e grupos são gerenciados. Depois de habilitar o IAM Identity Center, confirme se você está usando a fonte de identidades de a escolha. Se já tiver uma fonte de identidades atribuída, você poderá continuar a usá-la. 

Se você já estiver gerenciando usuários e grupos no Active Directory ou em um IdP externo, recomendamos que considere conectar essa fonte de identidade quando habilitar o IAM Identity Center e escolher a fonte de identidade. Isso deve ser feito antes de você criar qualquer usuário e grupo no diretório padrão do Centro de Identidade e fazer qualquer atribuição.

 Se você já estiver gerenciando usuários e grupos em uma fonte de identidade no IAM Identity Center, mudar para uma fonte de identidade diferente pode remover todas as atribuições de usuários e grupos que você configurou no IAM Identity Center. Se isso ocorrer, todos os usuários, incluindo o usuário administrativo no IAM Identity Center, perderão o acesso de login único a seus aplicativos Contas da AWS e aplicativos. Para obter mais informações, consulte [Considerações para alterar sua fonte de identidade](manage-your-identity-source-considerations.md).

**Para confirmar sua fonte de identidade**

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Na página **Painel**, abaixo da seção **Etapas de configuração recomendadas**, escolha **Confirmar sua fonte de identidades**. Você também pode acessar essa página escolhendo **Configurações** e depois a guia **Fonte de identidades**.

1. Não será necessária nenhuma ação se você quiser manter sua fonte de identidades atribuída. Se você preferir alterá-la, escolha **Ações** e depois **Alterar fonte de identidades**.

Você pode escolher uma das seguintes opções como fonte de identidade: 

**Diretório do Identity Center**  
Ao habilitar o IAM Identity Center pela primeira vez, ele é configurado automaticamente com um diretório do IAM Identity Center como sua fonte de identidade padrão. Se você ainda não estiver usando outro provedor de identidade externo, pode começar a criar seus usuários e grupos e atribuir o nível de acesso deles aos seus Contas da AWS aplicativos. Para obter um tutorial sobre o uso dessa fonte de identidades, consulte [Configurar acesso de usuário com o diretório padrão do IAM Identity Center](quick-start-default-idc.md).

** Active Directory**  
Se você já estiver gerenciando usuários e grupos em seu AWS Managed Microsoft AD diretório usando Directory Service ou em seu diretório autogerenciado emActive Directory (AD), recomendamos que você conecte esse diretório ao habilitar o IAM Identity Center. Não crie nenhum usuário ou grupo no diretório padrão do Identity Center. O IAM Identity Center usa a conexão fornecida pelo AWS Directory Service para sincronizar informações de usuário, grupo e associação do seu diretório de origem no Active Directory com o repositório de identidades do IAM Identity Center. Para obter mais informações, consulte [Diretório Microsoft AD](manage-your-identity-source-ad.md).  
O IAM Identity Center não oferece suporte ao Simple AD SAMBA4 baseado como fonte de identidade.

**Provedores de identidade externos**  
Para provedores de identidade externos (IdPs), como Okta ouMicrosoft Entra ID, você pode usar o IAM Identity Center para autenticar identidades IdPs por meio do padrão Security Assertion Markup Language (SAML) 2.0. O protocolo SAML não oferece um modo de consultar o IdP para obter informações sobre usuários e grupos. Você informa o IAM Identity Center sobre esses usuários e grupos provisionando-os para o IAM Identity Center. O IAM Identity Center é compatível com o provisionamento automático (sincronização) de informações de usuários e grupos do IdP para o IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Caso contrário, você pode provisionar manualmente os usuários e os grupos inserindo os nomes de usuário, os endereços de e-mail e os grupos no IAM Identity Center.  
Para obter instruções detalhadas a configurações da fonte de identidades, consulte [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md).  
Se você planejar usar um provedor de identidades externo, observe que o IdP externo, não o IAM Identity Center, gerenciará as configurações de autenticação multifator (MFA). O IAM Identity Center não é compatível com o uso de MFA por provedores de identidade externos. Para obter mais informações, consulte [Solicite aos usuários o MFA](mfa-getting-started.md).

**nota**  
Se você planeja replicar o IAM Identity Center para regiões adicionais, precisará configurar um provedor de identidade externo. Para obter mais detalhes, incluindo os pré-requisitos, consulte. [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md)

# Atualize firewalls e gateways para permitir o acesso ao Portal de acesso da AWS
<a name="enable-identity-center-portal-access"></a>

O portal de AWS acesso fornece aos usuários acesso de login único a todos os seus aplicativos de nuvem mais usados, como Office 365, Concur, Salesforce Contas da AWS e muitos outros. Você pode iniciar rapidamente vários aplicativos simplesmente escolhendo o ícone Conta da AWS ou aplicativo no portal. 

**nota**  
AWS os aplicativos gerenciados se integram ao IAM Identity Center e o usam para serviços de autenticação e diretório, mas podem não usar o portal de AWS acesso para acesso ao aplicativo.

Se você filtrar o acesso a AWS domínios ou endpoints de URL específicos usando uma solução de filtragem de conteúdo da web, como firewalls de próxima geração (NGFW) ou Secure Web Gateways (SWG), deverá incluir na lista de permissões os domínios e endpoints de URL associados ao portal de acesso. AWS 

A lista a seguir fornece os domínios de pilha dupla IPv4 e os endpoints de URL para adicionar às suas listas de permissões da solução de filtragem de conteúdo da web.

**IPv4 lista de permissões**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com `
+ `*.sso-portal.[Region].amazonaws.com`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`

**Lista de permissões de pilha dupla**
+ `[Identity Center instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].api.aws`
+ `sso.[Region].api.aws`
+ `portal.sso.[Region].api.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

**Lista de permissões combinada (IPv4 \$1 Dual-stack com compatibilidade com versões anteriores)**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `[Identity Centers instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `oidc.[Region].api.aws`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com`
+ `sso.[Region].api.aws`
+ `*.sso-portal.[Region].amazonaws.com`
+ `portal.sso.[Region].api.aws`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

## Considerações sobre a inclusão de domínios e endpoints de URL na lista de permissões
<a name="allowlist-considerations"></a>

Além dos requisitos da lista de permissões para o portal de AWS acesso, os outros serviços e aplicativos que você usa podem exigir a lista de permissões de domínios. 
+ Para acessar Contas da AWS o console do Console de gerenciamento da AWS IAM Identity Center e o console do IAM a partir do seu portal de AWS acesso, você deve incluir domínios adicionais na lista de permissões. Consulte [Solução de problemas](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/troubleshooting.html) no *Guia de introdução para Console de gerenciamento da AWS obter* uma lista de Console de gerenciamento da AWS domínios.
+ Para acessar aplicativos AWS gerenciados do seu portal de AWS acesso, você deve permitir seus respectivos domínios. Consulte a documentação do respectivo serviço para obter orientação. 
+ Se você usa software externo, como externo IdPs (por exemplo, Okta eMicrosoft Entra ID), precisará incluir seus domínios nas suas listas de permissões.