As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Conceitos básicos do Centro de Identidade do IAM
Veja a seguir como você pode começar a usar o IAM Identity Center.
1. **Habilitar o IAM Identity Center**
Ao [habilitar o IAM Identity Center](enable-identity-center.md), você escolhe entre dois tipos de instâncias do IAM Identity Center. Esses tipos são: [*instâncias da organização*](organization-instances-identity-center.md) (recomendadas) e [*instâncias da conta*](account-instances-identity-center.md). Para saber mais sobre os diferentes recursos desses tipos de instância, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
**nota**
Depois que o IAM Identity Center estiver habilitado, você poderá fazer login e abrir o [console do IAM Identity Center](https://console.aws.amazon.com//singlesignon/) fazendo o seguinte:
**Instância da organização** - Faça login AWS usando credenciais com permissões administrativas na conta de gerenciamento.
**Instância da conta** - Faça login AWS usando credenciais com permissões administrativas no local em Conta da AWS que o IAM Identity Center está ativado.
1. **Conecte a fonte de identidade ao IAM Identity Center**
No console do IAM Identity Center, confirme a fonte de identidade que você deseja usar. Consulte o seguinte para obter as fontes de identidade:
+ **Provedor de identidade externo** — Se você tiver um provedor de identidade existente para gerenciar os usuários da força de trabalho, poderá conectá-lo ao IAM Identity Center. Para obter mais informações sobre como configurar os provedores de identidades mais usados para operarem com o IAM Identity Center, consulte [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md).
+ **Active Directory** — Se você estiver usando o Active Directory para gerenciar os usuários da força de trabalho, poderá conectá-lo ao IAM Identity Center. Para obter mais informações, consulte [Usar o Active Directory como uma fonte de identidades](gs-ad.md).
+ **IAM Identity Center** — Como alternativa, você pode [criar e gerenciar usuários e grupos diretamente no IAM Identity Center](quick-start-default-idc.md).
**nota**
Atualmente, você deve usar um provedor de identidade externo como fonte de identidade para aproveitar uma configuração multirregional com seu IAM Identity Center. Para obter mais informações sobre os benefícios dessa configuração, consulte[Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md).
1. **Configurar o acesso do usuário a Contas da AWS (somente instância da organização)**
Se você estiver usando uma instância organizacional do IAM Identity Center, você pode [atribuir acesso a usuários ou grupos Contas da AWS](https://docs.aws.amazon.com//singlesignon/latest/userguide/assignusers.html), usando [conjuntos de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/permissionsetsconcept.html) para conceder aos usuários acesso Contas da AWS e recursos.
1. **Configurar o acesso do usuário a aplicações**
Com o IAM Identity Center, você pode conceder aos usuários acesso a dois tipos de aplicações:
1. **[AWS aplicativos gerenciados](awsapps.md)**
+ Você pode usar o IAM Identity Center com aplicativos AWS gerenciados como Amazon Q Business e Amazon Redshift. AWS CLI Para obter mais informações, consulte [AWS aplicativos gerenciados](awsapps.md) e [Integração da AWS CLI com o IAM Identity Center](integrating-aws-cli.md).
1. **[Aplicações gerenciadas pelo cliente](customermanagedapps.md)**
+ Você pode integrar qualquer um dos seguintes tipos de aplicações gerenciadas pelo cliente com o IAM Identity Center:
+ [Aplicações listadas no catálogo do IAM Identity Center](saasapps.md)
+ [Aplicações personalizadas](customermanagedapps-set-up-your-own-app-saml2.md)
+ Depois de configurar a aplicação, você pode [atribuir o acesso à aplicação aos usuários](assignuserstoapp.md).
1. **Forneça aos usuários instruções de login para o portal de acesso do AWS **
O portal de AWS acesso é um portal da web que fornece aos usuários acesso contínuo a todos os aplicativos atribuídos ou Contas da AWS a ambos. Novos usuários no IAM Identity Center devem ativar suas credenciais de usuário antes de poderem entrar no portal de AWS acesso.
Para obter informações sobre como entrar no portal de AWS acesso, consulte [Entrar no portal de AWS acesso](https://docs.aws.amazon.com//signin/latest/userguide/iam-id-center-sign-in-tutorial.html) no *Guia do Início de Sessão da AWS usuário*. Para saber mais sobre o processo de login no portal de AWS acesso, consulte [Entrando no portal de AWS acesso](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtosignin.html).
# Pré-requisitos e considerações sobre o IAM Identity Center
Você pode usar o IAM Identity Center para acessar somente aplicativos AWS gerenciados, Contas da AWS somente ou ambos. Se você estiver usando a federação do IAM para gerenciar o acesso Contas da AWS, você pode continuar fazendo isso enquanto usa o IAM Identity Center para acesso ao aplicativo.
Antes de habilitar o IAM Identity Center, considere o seguinte:
+ AWS Região
Primeiro, você ativa o IAM Identity Center em uma única região [compatível](regions.md) para cada instância do IAM Identity Center. Se você quiser usar o IAM Identity Center para acesso único às contas AWS , a região deverá estar acessível a todos os usuários da organização. Se você planeja usar o IAM Identity Center para acessar aplicativos, saiba que alguns aplicativos AWS gerenciados, como o Amazon SageMaker AI, podem operar somente nas regiões que oferecem suporte. Além disso, a maioria dos aplicativos AWS gerenciados exige que o IAM Identity Center esteja disponível na mesma região do aplicativo. Isso pode ser feito colocando-os na mesma região ou, quando houver suporte, replicando a instância do IAM Identity Center na região de implantação desejada de um AWS aplicativo gerenciado. Para obter mais informações, consulte [Considerações para escolher um Região da AWS](identity-center-region-considerations.md).
+ Acesso somente à aplicação
Você pode usar o IAM Identity Center somente para acesso do usuário a aplicativos como o Kiro, usando seu provedor de identidade existente. Para obter mais informações, consulte [Uso do IAM Identity Center para acesso dos usuário apenas a aplicações](identity-center-for-apps-only.md).
**nota**
O acesso aos recursos da aplicação é gerenciado independentemente pelo proprietário da aplicação.
+ Cotas para perfis do IAM
O IAM Identity Center cria perfis do IAM para dar aos usuários permissões para contabilizar os recursos. Para obter mais informações, consulte [Perfis do IAM criados pelo IAM Identity Center](identity-center-and-iam-roles.md).
+ Centro de identidade do IAM e AWS Organizations
AWS Organizations é recomendado, mas não obrigatório, para uso com o IAM Identity Center. Se você não configurou uma organização, não é necessário fazer isso. Se você já configurou AWS Organizations e vai adicionar o IAM Identity Center à sua organização, verifique se todos os AWS Organizations recursos estão habilitados. Para obter mais informações, consulte [Centro de identidade do IAM e AWS Organizations](identity-center-and-orgs.md).
As interfaces web do IAM Identity Center, incluindo o portal de acesso e o console do IAM Identity Center, devem ser acessadas por humanos por meio de navegadores da web compatíveis. Os navegadores compatíveis incluem as três versões mais recentes do Microsoft Edge, Mozilla Firefox, Google Chrome e Apple Safari. O acesso a esses endpoints usando caminhos não baseados em navegador não é suportado. Para acesso programático aos serviços do IAM Identity Center, recomendamos usar a documentação APIs disponível nos guias de referência da API IAM Identity Center e Identity Store.
# Considerações para escolher um Região da AWS
Você pode ativar o IAM Identity Center em um único suporte Região da AWS de sua escolha e ele está disponível para usuários em todo o mundo. Essa disponibilidade global facilita a configuração do acesso do usuário a vários Contas da AWS aplicativos. A seguir, estão as principais considerações para escolher uma Região da AWS.
+ **Localização geográfica dos seus usuários** — Quando você seleciona uma região geograficamente mais próxima da maioria dos seus usuários finais, eles terão menor latência de acesso ao portal de acesso e AWS aos aplicativos AWS gerenciados, como o Amazon AI. SageMaker
+ Regiões de **aceitação (regiões que estão desativadas por padrão)** — Uma região de aceitação é Região da AWS aquela que está desativada por padrão. Você deve habilitar a região opcional para usá-la. Para obter mais informações, consulte [Como gerenciar o IAM Identity Center em uma região de aceitação](regions.md#manually-enabled-regions).
+ **Replicação do IAM Identity Center para regiões adicionais** — Se você planeja replicar o IAM Identity Center para outras regiões Regiões da AWS, você deve escolher uma região ativada por padrão. Para obter mais informações, consulte [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md).
+ **Escolha de regiões de implantação para aplicativos AWS AWS gerenciados** — os Regiões da AWS aplicativos gerenciados podem operar somente onde estão disponíveis. Muitos aplicativos AWS gerenciados também podem operar somente em uma região na qual o IAM Identity Center está habilitado ou replicado (região primária ou adicional). Para confirmar se sua instância do IAM Identity Center oferece suporte à replicação para regiões adicionais, consulte[Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md). Se a replicação não for uma opção, considere habilitar o IAM Identity Center na região em que você planeja usar aplicativos AWS gerenciados.
+ **Soberania digital**: os regulamentos ou as políticas da empresa sobre soberania digital podem exigir o uso de uma determinada Região da AWS. Consulte o departamento jurídico da sua empresa.
+ **Fonte de identidade** — Se você estiver usando [AWS Managed Microsoft AD](connectawsad.md)seu diretório autogerenciado no Active [Directory (AD)](connectonpremad.md) como fonte de identidade, sua região de origem deverá corresponder à Região da AWS na qual você habilitou o IAM Identity Center.
+ **E-mails entre regiões com o Amazon Simple Email Service** — Em algumas regiões, o IAM Identity Center pode chamar o [Amazon Simple Email Service (Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)) em outra região para enviar e-mails. Nessas chamadas entre regiões, o IAM Identity Center envia determinados atributos de usuário para a outra região. Para obter mais informações, consulte [E-mails entre regiões com o Amazon SES](regions.md#cross-region-calls).
+ **AWS Control Tower**— Se você estiver habilitando uma instância organizacional do IAM Identity Center a partir de AWS Control Tower, a instância será criada na mesma região da AWS Control Tower landing zone.
**Topics**
+ [Armazenamento de dados e operações da região do IAM Identity Center](regions.md)
+ [Trocando Regiões da AWS](switching-regions.md)
+ [Desativando e Região da AWS onde o IAM Identity Center está ativado](disabling-region-with-identity-center.md)
# Armazenamento de dados e operações da região do IAM Identity Center
Saiba como o IAM Identity Center lida com o armazenamento e as operações de dados entre as Regiões da AWS.
## Entender como o IAM Identity Center armazena dados
Quando você ativa o IAM Identity Center, todos os dados que você configura no IAM Identity Center são armazenados na região em que você os habilitou. Esses dados incluem configurações de diretório, conjuntos de permissões, instâncias do aplicativo e atribuições de usuários aos Conta da AWS aplicativos. Se você estiver usando o armazenamento de identidades do IAM Identity Center, todos os usuários e grupos que você cria no IAM Identity Center também são armazenados na mesma região. Se você replicar sua instância do IAM Identity Center para regiões adicionais, o IAM Identity Center replica automaticamente usuários, grupos, conjuntos de permissões e suas atribuições, além de outros metadados e configurações para essas regiões.
## E-mails entre regiões com o Amazon SES
O IAM Identity Center usa o [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) para enviar e-mails aos usuários finais quando eles tentam fazer login com uma senha de uso único (OTP) como segundo fator de autenticação. Esses e-mails também são enviados para determinados eventos de gerenciamento de identidade e credenciais, como quando o usuário é convidado a configurar uma senha inicial, verificar um endereço de e-mail e redefinir sua senha. O Amazon SES está disponível em um subconjunto do suporte do Regiões da AWS IAM Identity Center.
O IAM Identity Center chama os endpoints locais do Amazon SES quando o Amazon SES está disponível localmente em uma Região da AWS. Quando o Amazon SES não está disponível localmente, o IAM Identity Center chama os endpoints do Amazon SES em uma Região da AWS diferente, conforme indicado na tabela a seguir.
| Código da região do IAM Identity Center | Nome da região do IAM Identity Center | Código de região do Amazon SES | Nome de região do Amazon SES |
| --- | --- | --- | --- |
| ap-east-1 | Ásia-Pacífico (Hong Kong) | ap-northeast-2 | Ásia-Pacífico (Seul) |
| ap-east-2 | Ásia-Pacífico (Taipei) | ap-northeast-1 | Ásia-Pacífico (Tóquio) |
| ap-south-2 | Ásia-Pacífico (Hyderabad) | ap-south-1 | Ásia-Pacífico (Mumbai) |
| ap-southeast-4 | Ásia-Pacífico (Melbourne) | ap-southeast-2 | Ásia-Pacífico (Sydney) |
| ap-southeast-5 | Ásia-Pacífico (Malásia) | ap-southeast-1 | Ásia-Pacífico (Singapura) |
| ap-southeast-6 | Ásia-Pacífico (Nova Zelândia) | ap-southeast-2 | Ásia-Pacífico (Sydney) |
| ap-southeast-7 | Ásia-Pacífico (Tailândia) | ap-northeast-3 | Ásia-Pacífico (Osaka) |
| ca-west-1 | Oeste do Canadá (Calgary) | ca-central-1 | Canadá (Central) |
| eu-south-2 | Europa (Espanha) | eu-west-3 | Europa (Paris) |
| eu-central-2 | Europa (Zurique) | eu-central-1 | Europa (Frankfurt) |
| mx-central-1 | México (Centro) | us-east-2 | Leste dos EUA (Ohio) |
| me-central-1 | Oriente Médio (Emirados Árabes Unidos) | eu-central-1 | Europa (Frankfurt) |
| us-gov-east-1 | AWS GovCloud (Leste dos EUA) | us-gov-west-1 | AWS GovCloud (Oeste dos EUA) |
Nessas chamadas entre regiões, o IAM Identity Center pode enviar os seguintes atributos de usuário:
+ Endereço de e-mail
+ Nome
+ Sobrenome
+ Conta em AWS Organizations
+ AWS URL do portal de acesso
+ Nome de usuário
+ ID de diretório
+ ID de usuário
## Gerenciamento do IAM Identity Center em uma região de adesão opcional (região desabilitada por padrão)
A maioria Regiões da AWS está habilitada para operações em todos os AWS serviços por padrão, mas você deve habilitar as seguintes [regiões opcionais](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion) se quiser usar o IAM Identity Center:
+ Africa (Cape Town)
+ Ásia Pacífico (Hong Kong)
+ Ásia-Pacífico (Taipei)
+ Ásia-Pacífico (Hyderabad)
+ Ásia-Pacífico (Jacarta)
+ Ásia-Pacífico (Melbourne)
+ Ásia-Pacífico (Malásia)
+ Ásia-Pacífico (Nova Zelândia)
+ Ásia-Pacífico (Tailândia)
+ Oeste do Canadá (Calgary)
+ Europa (Milão)
+ Europa (Espanha)
+ Europa (Zurique)
+ Israel (Tel Aviv)
+ México (Centro)
+ Oriente Médio (Bahrein)
+ Oriente Médio (Emirados Árabes Unidos)
Se você implantar o IAM Identity Center em uma região de aceitação, deverá habilitar essa região em todas as contas em que desejar gerenciar o acesso ao IAM Identity Center. Todas as contas precisam dessa configuração, independentemente de você criar ou não recursos nessa região. Você pode habilitar uma região para as contas atuais da organização e deve repetir essa ação quando adicionar novas contas. Para obter instruções, consulte [Habilitar ou desabilitar uma região na organização](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) no *Guia do Usuário do AWS Organizations *. Para não precisar repetir essas etapas adicionais, você pode optar por implantar o IAM Identity Center em uma [Região habilitada por padrão](#regions-enabled-by-default).
**nota**
Sua conta de AWS membro deve estar na mesma região da região de inscrição em que sua instância do IAM Identity Center está localizada, para que você possa acessar a conta do AWS membro a partir do portal de AWS acesso.
**Metadados armazenados nas regiões de aceitação**
Quando você ativa o IAM Identity Center para uma conta de gerenciamento em um opt-in Região da AWS, os seguintes metadados do IAM Identity Center para qualquer conta membro são armazenados na região.
+ ID da conta
+ Nome da conta
+ E-mail da conta
+ Amazon Resource Names (ARNs) das funções do IAM que o IAM Identity Center cria na conta do membro
## Regiões da AWS que estão habilitados por padrão
As seguintes regiões estão habilitadas por padrão e você pode habilitar o IAM Identity Center nessas regiões.
+ Leste dos EUA (Ohio)
+ Leste dos EUA (N. da Virgínia)
+ Oeste dos EUA (Oregon)
+ Oeste dos EUA (N. da Califórnia)
+ Europa (Paris)
+ América do Sul (São Paulo)
+ Ásia-Pacífico (Mumbai)
+ Europa (Estocolmo)
+ Ásia-Pacífico (Seul)
+ Ásia-Pacífico (Tóquio)
+ Europa (Irlanda)
+ Europa (Frankfurt)
+ Europa (Londres)
+ Ásia-Pacífico (Singapura)
+ Ásia-Pacífico (Sydney)
+ Canadá (Central)
+ Ásia-Pacífico (Osaka)
# Trocando Regiões da AWS
Recomendamos que você instale o IAM Identity Center em uma região que você pretende manter disponível para os usuários, não em uma região que talvez seja necessário desabilitar. Para obter mais informações, consulte [Considerações para escolher um Região da AWS](identity-center-region-considerations.md).
Você pode alterar a região do IAM Identity Center somente ao [excluir a instância atual do IAM Identity Center](delete-config.md) e criar uma instância em outra região. Se você já habilitou uma aplicação gerenciada pela AWS com a instância existente do IAM Identity Center, desabilite a aplicação antes de excluir o IAM Identity Center. Para obter instruções sobre como desativar aplicativos AWS gerenciados, consulte[Desabilitando um aplicativo AWS gerenciado](awsapps-remove.md).
**nota**
Se você está pensando em mudar sua região do IAM Identity Center para permitir a implantação de um aplicativo AWS gerenciado em outra região, considere replicar sua instância do IAM Identity Center para essa região. Para obter mais informações, consulte [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md).
**Considerações sobre a configuração na nova região**
Você deverá recriar usuários, grupos, conjuntos de permissões, aplicações e atribuições na nova instância do IAM Identity Center. Você pode usar a conta do IAM Identity Center e a atribuição do aplicativo [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)para obter um instantâneo da sua configuração e, em seguida, usar esse instantâneo para reconstruir sua configuração em uma nova região. Mudar para uma região diferente também altera a URL do [portal de AWS acesso](using-the-portal.md), que fornece aos usuários acesso de login único a seus aplicativos Contas da AWS e aplicativos. Pode ser necessário também recriar algumas configurações do IAM Identity Center por meio do Management Console da nova instância.
# Desativando e Região da AWS onde o IAM Identity Center está ativado
Se você desabilitar um Região da AWS no qual o IAM Identity Center está instalado, o IAM Identity Center também será desativado. Após o IAM Identity Center ser desabilitado em uma região, os usuários dessa região não terão acesso de login único às Contas da AWS e aplicações.
Para reativar o IAM Identity Center no [opt-in Regiões da AWS](regions.md#manually-enabled-regions), você deve reativar a região. Como o IAM Identity Center precisa reprocessar todos os eventos pausados, a reabilitação do IAM Identity Center pode levar algum tempo.
**nota**
O IAM Identity Center pode gerenciar o acesso somente aos Contas da AWS que estão habilitados para uso em um Região da AWS. Para gerenciar o acesso em todas as contas da sua organização, habilite o IAM Identity Center na conta de gerenciamento em uma Região da AWS que seja ativada automaticamente para uso com o IAM Identity Center.
Para obter mais informações sobre como ativar e desativar Regiões da AWS, consulte [Gerenciando Regiões da AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) na *Referência AWS Geral*.
# Uso do IAM Identity Center para acesso dos usuário apenas a aplicações
Você pode usar o IAM Identity Center para acesso do usuário a aplicativos como o Kiro ou ambos. Contas da AWS Você pode conectar o seu provedor de identidades existente e sincronizar usuários e grupos do seu diretório, ou [criar e gerenciar os usuários diretamente no IAM Identity Center](quick-start-default-idc.md). Para obter informações sobre como conectar seu provedor de identidades existente ao IAM Identity Center, consulte os [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md).
**Já está usando o IAM para acessar Contas da AWS?**
Você não precisa fazer nenhuma alteração em seus Conta da AWS fluxos de trabalho atuais para usar o IAM Identity Center para acessar aplicativos AWS gerenciados. Se você estiver usando a [federação com o IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam) para Conta da AWS acessar, seus usuários podem continuar Contas da AWS acessando da mesma forma que sempre fizeram, e você pode continuar usando seus fluxos de trabalho existentes para gerenciar esse acesso.
# Perfis do IAM criados pelo IAM Identity Center
Quando você atribui um usuário a uma AWS conta, o IAM Identity Center cria funções do IAM para dar aos usuários permissões sobre os recursos.
Quando você atribui um conjunto de permissões, o IAM Identity Center cria os perfis do IAM controlados pelo IAM Identity Center correspondentes em cada conta e anexa as políticas especificadas no conjunto de permissões a esses perfis. O IAM Identity Center gerencia a função e permite que os usuários autorizados que você definiu assumam a função usando o portal de AWS acesso ou. AWS CLI Conforme você modificar o conjunto de permissões, o IAM Identity Center garantirá que as políticas e perfis do IAM correspondentes sejam devidamente atualizados. A replicação da instância do IAM Identity Center para regiões adicionais não afeta as funções existentes do IAM e não cria novas funções do IAM.
**nota**
Os conjuntos de permissões não são usados para conceder permissões às aplicações.
Se você já configurou funções do IAM no seu Conta da AWS, recomendamos que verifique se sua conta está se aproximando da cota para funções do IAM. A cota padrão de perfis do IAM por conta é de 1.000 perfis. Para obter mais informações, consulte [Cotas de objetos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities).
Se você estiver se aproximando da cota, considere solicitar um aumento de cota. Caso contrário, você poderá ter problemas com o IAM Identity Center ao provisionar conjuntos de permissões para contas que excederam a cota de perfis do IAM. Para obter informações sobre como solicitar o aumento da cota, consulte [Solicitar um aumento de cota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) no *Guia do usuário do Service Quotas*.
**nota**
Se você estiver revisando os perfis do IAM de uma conta que já está usando o IAM Identity Center, poderá notar nomes de perfil começando com “AWSReservedSSO\$1”. Esses são os perfis que o serviço do IAM Identity Center criou na conta e vieram da atribuição de um conjunto de permissões à conta.
# Centro de identidade do IAM e AWS Organizations
AWS Organizations é recomendado, mas não obrigatório, para uso com o IAM Identity Center. Se você não configurou uma organização, não é necessário fazer isso. Ao ativar o IAM Identity Center, você escolherá se deseja ativar o serviço com AWS Organizations. Quando você configura uma organização, o Conta da AWS que configura a organização se torna a conta de gerenciamento da organização. O usuário raiz do Conta da AWS agora é o proprietário da conta de gerenciamento da organização. Todas as Contas da AWS adicionais que você convida para sua organização são contas-membros. A conta de gerenciamento cria os recursos, as unidades organizacionais e as políticas da organização que gerenciam as contas-membros. As permissões são delegadas às contas-membros pela conta de gerenciamento.
**nota**
Recomendamos que você habilite o IAM Identity Center com AWS Organizations, que cria uma instância organizacional do IAM Identity Center. Uma instância de organização é a prática recomendada porque é compatível com todos os atributos do IAM Identity Center e fornece recursos de gerenciamento central. Para obter mais informações, consulte [Instâncias de organização do IAM Identity Center](organization-instances-identity-center.md).
Se você já configurou AWS Organizations e vai adicionar o IAM Identity Center à sua organização, verifique se todos os AWS Organizations recursos estão habilitados. Quando você cria uma organização, a habilitação de todos os recursos é o padrão. Para obter mais informações, consulte [Habilitar todos os recursos em sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) no *Manual do usuário do AWS Organizations *.
Para habilitar uma instância organizacional do IAM Identity Center, você deve entrar no Console de gerenciamento da AWS fazendo login na sua conta de AWS Organizations gerenciamento como um usuário com credenciais administrativas ou como usuário raiz (não recomendado, a menos que não existam outros usuários administrativos). Para obter mais informações, consulte [Criação e gerenciamento de uma AWS organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) no *Guia AWS Organizations do usuário*.
Ao fazer login com credenciais administrativas de uma conta AWS Organizations membro, você pode habilitar uma instância de conta do IAM Identity Center. As instâncias da conta têm recursos limitados e estão vinculadas a uma única AWS conta.
# Instâncias de organização e de conta do IAM Identity Center
Uma instância é uma implantação única do IAM Identity Center. Há dois tipos de instâncias disponíveis para o IAM Identity Center: *instâncias de organização* e *instâncias de conta*.
+ Instância de organização (recomendada)
Uma instância do IAM Identity Center que você ativa na conta AWS Organizations de gerenciamento. As instâncias da organização suportam todos os recursos do IAM Identity Center. Recomendamos que você implante uma instância de organização em vez de instâncias de conta para minimizar o número de pontos de gerenciamento.
+ Instância de conta
Uma instância do IAM Identity Center vinculada a uma única Conta da AWS e visível somente na Conta da AWS AWS região em que está ativada. Use uma instância de conta para cenários mais simples e de conta única. Você pode habilitar uma instância de conta em:
+ E Conta da AWS isso não é gerenciado por AWS Organizations
+ Uma conta de membro em AWS Organizations
## Conta da AWS tipos que podem habilitar o IAM Identity Center
Para habilitar o IAM Identity Center, faça login no Console de gerenciamento da AWS usando uma das seguintes credenciais, dependendo do tipo de instância que você deseja criar:
+ **Sua conta AWS Organizations de gerenciamento (recomendada)** — necessária para criar uma [instância organizacional](organization-instances-identity-center.md) do IAM Identity Center. Use uma instância de organização para permissões multicontas e atribuições de aplicações em toda a organização.
+ **Sua conta de AWS Organizations membro** — Use para criar uma [instância de conta](account-instances-identity-center.md) do IAM Identity Center para permitir atribuições de aplicativos dentro dessa conta de membro. Pode haver uma ou mais contas com uma instância de nível de membro em uma organização.
+ **Autônomo Conta da AWS** — Use para criar uma [instância organizacional ou instância](organization-instances-identity-center.md) de [conta](account-instances-identity-center.md) do IAM Identity Center. O autônomo Conta da AWS não é gerenciado por AWS Organizations. Você pode associar somente uma instância do IAM Identity Center a uma instância autônoma Conta da AWS e usar essa instância para atribuições de aplicativos dentro dessa instância autônoma. Conta da AWS
Use a tabela a seguir para comparar os recursos fornecidos pelo tipo de instância:
| Recurso | Instância na conta AWS Organizations de gerenciamento (recomendado) | Instância em uma conta-membro | Instância em uma instância autônoma Conta da AWS |
| --- | --- | --- | --- |
| Gerenciar usuários | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |
| AWS portal de acesso para acesso com login único aos seus aplicativos AWS gerenciados | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |
| OAuth Aplicativos 2.0 (OIDC) gerenciados pelo cliente | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png)Sim | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png)Sim |
| Permissões multicontas | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não |
| AWS portal de acesso para acesso com login único ao seu Contas da AWS | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não |
| Aplicações SAML 2.0 gerenciadas pelo cliente | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não |
| O administrador delegado pode gerenciar a instância | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não |
| Criptografia em repouso usando uma chave KMS gerenciada pelo cliente | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não |
| Replicando o IAM Identity Center para regiões adicionais | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não |
Para obter mais informações sobre aplicativos AWS gerenciados e o IAM Identity Center, consulte[AWS aplicativos gerenciados que você pode usar com o IAM Identity Center](awsapps-that-work-with-identity-center.md).
**Topics**
+ [Conta da AWS tipos que podem habilitar o IAM Identity Center](#identity-center-instances-account-types)
+ [Instâncias de organização do IAM Identity Center](organization-instances-identity-center.md)
+ [Instâncias de conta do Centro de Identidade do IAM](account-instances-identity-center.md)
+ [Excluir sua instância do IAM Identity Center](delete-config.md)
# Instâncias de organização do IAM Identity Center
Ao habilitar o IAM Identity Center em conjunto com AWS Organizations, você está criando uma instância organizacional do IAM Identity Center. A instância de organização deve estar habilitada em sua conta de gerenciamento e você pode gerenciar centralmente o acesso de usuários e grupos com uma única instância de organização. Você só pode ter uma instância de organização para cada conta de gerenciamento no AWS Organizations.
Se habilitou o IAM Identity Center antes de 15 de novembro de 2023, você já tem uma instância de organização do IAM Identity Center.
Para habilitar uma instância de organização do IAM Identity Center, consulte [Para habilitar uma instância do IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance).
## Quando usar uma instância de organização
Uma instância de organização é o principal método para habilitar o IAM Identity Center e, usualmente, uma instância de organização é recomendada. As instâncias de organização oferecem os seguintes benefícios:
+ **Support para todos os recursos do IAM Identity Center** — incluindo o gerenciamento de permissões para vários Contas da AWS em sua organização, a atribuição de acesso a aplicativos gerenciados pelo cliente e a replicação em várias regiões.
+ **Redução do número de pontos de gerenciamento**: uma instância de organização tem um único ponto de gerenciamento, a conta gerencial. Recomendamos que você habilite uma instância de organização, em vez de uma instância de conta, para reduzir o número de pontos de gerenciamento.
+ **Controle central da criação de instâncias de conta** — Você pode controlar se as instâncias de conta podem ser criadas por contas membros em sua organização, desde que você não tenha implantado uma instância do IAM Identity Center em sua organização em uma região opcional (Região da AWS que é desativada por padrão).
Para obter instruções sobre como habilitar uma instância de organização do IAM Identity Center, consulte [Para habilitar uma instância do IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance).
# Instâncias de conta do Centro de Identidade do IAM
Com uma instância de conta do IAM Identity Center, você pode implantar aplicativos AWS gerenciados compatíveis e aplicativos gerenciados pelo cliente baseados em OIDC. As instâncias de conta oferecem suporte a implantações isoladas de aplicativos em um único aplicativo Conta da AWS, aproveitando os recursos do portal de acesso e identidade da força de trabalho do IAM Identity Center.
As instâncias da conta estão vinculadas a uma única Conta da AWS e são usadas somente para gerenciar o acesso de usuários e grupos a aplicativos compatíveis na mesma conta Região da AWS e. Você está limitado a uma instância de conta por Conta da AWS. Você pode criar uma instância de conta a partir de uma das seguintes opções: uma conta de membro AWS Organizations ou uma conta autônoma Conta da AWS que não seja gerenciada por AWS Organizations.
Para obter instruções sobre como habilitar uma instância de conta do IAM Identity Center, consulte [Para habilitar uma instância do IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance) e escolha a aba **Conta**.
## Quando usar uma instância de conta
Na maioria dos casos, uma [instância da organização](organization-instances-identity-center.md) é recomendada. Use instâncias de conta somente se um dos seguintes cenários se aplicar:
+ Você deseja executar um teste temporário de um aplicativo AWS gerenciado compatível para determinar se o aplicativo atende às suas necessidades comerciais.
+ Você não tem planos de adotar o IAM Identity Center em toda a sua organização, mas deseja oferecer suporte a um ou mais aplicativos AWS gerenciados.
+ Você tem uma instância de organização do IAM Identity Center, mas deseja implantar uma aplicação gerenciada pela AWS compatível em um conjunto isolado de usuários que são distintos dos usuários da instância da sua organização.
+ Você não controla a AWS organização na qual opera. Por exemplo, um terceiro controla a AWS organização que gerencia sua Contas da AWS.
**Importante**
Se você planeja usar o IAM Identity Center para oferecer suporte a aplicações em várias contas, use uma instância de organização. As instâncias de conta não oferecem suporte a esse caso de uso.
## AWS aplicativos gerenciados que oferecem suporte a instâncias de contas
Veja [AWS aplicativos gerenciados que você pode usar com o IAM Identity Center](awsapps-that-work-with-identity-center.md) para saber quais aplicativos AWS gerenciados oferecem suporte às instâncias da conta do IAM Identity Center. Verifique a disponibilidade da criação da instância da conta com seu aplicativo AWS gerenciado.
## Restrições de disponibilidade para contas-membro
Para implantar instâncias de conta do IAM Identity Center nas contas dos AWS Organizations membros, uma das seguintes condições deve ser verdadeira:
+ Não há nenhuma instância de organização do IAM Identity Center em sua organização da .
+ Há uma instância de organização do IAM Identity Center na organização e o administrador da instância permite a criação de instâncias de conta do IAM Identity Center (para instâncias organizacionais criadas após 15 de novembro de 2023).
+ Há uma instância de organização do IAM Identity Center em sua organização da e o administrador da instância habilitou manualmente a criação de instâncias de conta pelas contas-membro da organização (para instâncias de organização criadas após 15 de novembro de 2023). Para instruções, consulte [Permitir a criação de instâncias de conta em contas de membros](enable-account-instance-console.md).
Depois que uma das condições anteriores for atendida, todas as seguintes condições devem ser verdadeiras:
+ O administrador não criou uma [política de controle de serviços](control-account-instance.md) que impede a criação de instâncias de conta.
+ Você não tem uma instância do IAM Identity Center nessa mesma conta, não importando a Região da AWS.
+ Você está trabalhando em um Região da AWS local onde o IAM Identity Center está disponível. Para obter mais informações sobre regiões, consulte [Armazenamento de dados e operações da região do IAM Identity Center](regions.md).
## Considerações sobre instâncias de conta
Uma instância de conta destina-se a casos de uso especializados e oferece um subconjunto dos atributos disponíveis para uma instância de organização. Considere o seguinte antes de criar uma instância de conta:
+ As instâncias de conta não são compatíveis com conjuntos de permissões e, portanto, não são compatíveis com o acesso a Contas da AWS.
+ Você não pode converter uma instância de conta em uma instância de organização.
+ Somente [aplicações gerenciadas pela AWS](awsapps-that-work-with-identity-center.md) são compatíveis com instâncias de conta.
+ Use instâncias de conta para usuários isolados que só usarão as aplicações em uma única conta e durante toda a vida útil das aplicações usadas.
+ As aplicações vinculadas a uma instância de conta devem permanecer vinculadas até que você exclua a aplicação junto com seus recursos.
+ Uma instância da conta deve permanecer no Conta da AWS local em que foi criada.
# Permitir a criação de instâncias de conta em contas de membros
Se você habilitou o IAM Identity Center antes de 15 de novembro de 2023, você tem uma [instância de organização](organization-instances-identity-center.md) do IAM Identity Center com a capacidade de contas de membros criarem instâncias de conta desabilitada por padrão. Você pode escolher se as contas-membros podem criar instâncias de conta habilitando o atributo de instância de conta no console do IAM Identity Center.
**Para habilitar a criação de instâncias de contas-membro na organização**
**Importante**
Habilitar instâncias de conta do IAM Identity Center para contas-membro é uma operação única. Isso significa que a operação não pode ser revertida. Uma vez habilitada, você pode limitar a criação de instâncias de conta criando uma política de controle de serviços (SCP). Para obter instruções, consulte [Control account instance creation with Services Control Policies](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html).
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** e despois escolha a guia **Gerenciamento**.
1. Na seção **Instâncias de conta do IAM Identity Center**, escolha **Habilitar instâncias de conta do IAM Identity Center**.
1. Na caixa de diálogo **Habilitar instâncias de conta do IAM Identity Center**, confirme que você deseja permitir que as contas-membros da organização criem instâncias de conta ao escolher **Habilitar**.
# Use as Políticas de controle de serviço para controlar a criação de instâncias de conta
A capacidade das contas de membros criarem instâncias de conta depende de quando você habilitou o IAM Identity Center:
+ **Antes de novembro de 2023** — Você deve [permitir a criação de instâncias de conta nas contas de membros](enable-account-instance-console.md), uma ação que não pode ser revertida.
+ **Depois de 15 de novembro de 2023,** as contas de membros podem criar instâncias de conta por padrão.
Em ambos os casos, você pode usar Service Control Policies (SCPs) para:
+ Impedir que todas as contas de membros criem instâncias de conta.
+ Permitir que somente contas de membros específicas criem instâncias de conta.
## Evitar instâncias de conta
Use o procedimento a seguir para gerar um SCP que impede a criação de instâncias de conta do IAM Identity Center.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. No **Painel**, na seção **Gerenciamento central**, escolha o botão **Evitar instâncias de conta**.
1. Na caixa de diálogo **Anexar SCP para evitar a criação de novas instâncias de conta**, uma SCP é fornecida a você. Copie a SCP e escolha o botão **Ir para o painel de SCP**. Você será direcionado ao [AWS Organizations console](https://console.aws.amazon.com/organizations/v2) para criar o SCP ou anexá-lo como uma declaração a um SCP existente. SCPs são uma característica do AWS Organizations. Para obter instruções sobre como anexar uma SCP, consulte [Attaching and detaching service control policies](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) no *AWS Organizations User Guide.*
## Limitar instâncias de conta
Em vez de impedir a criação de todas as instâncias da conta, essa política nega qualquer tentativa de criar uma instância de conta do IAM Identity Center para todos, Contas da AWS exceto aqueles explicitamente listados no *""* espaço reservado.
**Example : negue a política para limitar a criação de instâncias da conta**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ Substitua [*""*] pelas Conta da AWS IDs reais que você deseja permitir para criar uma instância de conta do IAM Identity Center.
+ Você pode listar várias contas permitidas IDs no formato de matriz: [*"111122223333", "444455556666"*].
+ Anexe essa política ao SCP da organização para impor o controle centralizado sobre a criação da instância de conta do IAM Identity Center.
Para obter instruções sobre como anexar uma SCP, consulte [Attaching and detaching service control policies](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) no *AWS Organizations User Guide.*
# Excluir sua instância do IAM Identity Center
Quando uma instância do IAM Identity Center é excluída, todos os dados dessa instância são excluídos e não podem ser recuperados. A tabela a seguir descreve quais dados são excluídos com base no tipo de diretório que está configurado no IAM Identity Center.
| Quais dados são excluídos | Diretório conectado - AWS Managed Microsoft AD, AD Connector ou provedor de identidade externo | Armazenamento de identidades do IAM Identity Center |
| --- | --- | --- |
| Todos os conjuntos de permissões para os quais você configurou Contas da AWS | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |
| Todas as aplicações que você configurou no IAM Identity Center | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |
| Todas as atribuições de usuário para as quais você configurou Contas da AWS e aplicativos | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |
| Todos os usuários e grupos no diretório ou armazenamento | N/D | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |
Se você replicou sua instância do IAM Identity Center para regiões adicionais, você deve remover essas regiões antes de excluir a instância.
Use os procedimentos a seguir para excluir sua instância do IAM Identity Center.
**Para excluir sua instância do IAM Identity Center**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. No painel de navegação à esquerda, escolha **Configurações**.
1. Na página **Configurações**, escolha a aba **Gerenciar**.
1. Na seção **Excluir configuração do IAM Identity Center**, escolha **Excluir**.
1. Na caixa de diálogo **Excluir configuração do IAM Identity Center**, marque cada caixa de seleção para confirmar que você entende que os dados serão excluídos. Digite sua instância do IAM Identity Center na caixa de texto e escolha **Confirmar**.