本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
快速入门:设置 IAM 身份中心以测试 AWS 托管应用程序
如果您的管理员尚未向您提供访问 IAM Identity Center 的权限,则可以使用本主题中的步骤设置 IAM Identity Center 来测试 AWS 托管应用程序。您将学习如何启用 IAM Identity Center、直接在 IAM Identity Center 中创建用户,以及如何将该用户分配给 AWS 托管应用程序。
本主题提供了有关如何通过以下任一方式启用 IAM Identity Center 的快速入门步骤:
使用 AWS Organizations — 如果您选择此选项,则会创建 IAM Identity Center 的组织实例。
仅在您的具体情况下 AWS 账户— 如果您选择此选项,则会创建 IAM Identity Center 的账户实例。
有关这些实例类型的信息,请参阅IAM Identity Center 的组织和账户实例。
先决条件
在启用 IAM 身份中心之前,请确认以下内容:
-
你有一个 AWS 账户 — 如果没有,请参阅《AWS 账户管理参考指南》 AWS 账户中的 “入门”。
-
AWS 托管应用程序可与 IAM Iden tity Center 配合使用 — 查看列表AWS 可与 IAM 身份中心配合使用的托管应用程序以确认您要测试的 AWS 托管应用程序可与 IAM 身份中心配合使用。
-
您已查看区域注意事项 — 确保启用 IAM Identity Center 的 AWS 区域 位置支持您要测试的 AWS 托管应用程序。有关更多信息,请参阅 AWS 托管应用程序的文档。
注意
您必须在计划启用 IAM Identity Center 的同一区域部署 AWS 托管应用程序。
设置 IAM 身份中心的组织实例以测试 AWS 托管应用程序
注意
本主题介绍如何使用启用 IAM 身份中心 AWS Organizations,这是启用 IAM 身份中心的推荐方法。
确认您的权限
要启用 IAM Identity Center AWS Organizations,您必须通过以下任一方式登录 AWS 管理控制台:
-
在启用 IAM 身份中心 AWS 账户 的地方拥有管理权限的用户 AWS Organizations。
-
root 用户(除非不存在其他管理用户,否则不建议使用)。
重要
root 用户有权访问账户中的所有 AWS 服务和资源。作为安全最佳实践,除非您没有其他证书,否则请勿使用账户的根证书访问 AWS 资源。这些凭证可提供不受限的账户访问且难以撤销。
第 1 步:使用启用 IAM 身份中心 AWS Organizations
-
执行以下任一操作即可登录 AWS Management Console。
-
AWS (root 用户)新手 — 选择 R oot 用户并输入您的 AWS 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。
-
已使用 AWS 独立版 AWS 账户 (IAM 证书)— 使用具有管理权限的 IAM 凭证登录。
-
-
在 AWS 管理控制台主页上,选择 IAM 身份中心服务或导航到 IAM 身份中心控制台
。 -
选择启用,然后使用启用 IAM 身份中心 AWS Organizations。执行此操作时,您正在创建 IAM Identity Center 的组织实例。
第 2 步:在 IAM 身份中心创建管理用户
此过程介绍如何直接在内置的 Identity Center 目录中创建用户。此目录未连接到您的管理员可能用来管理员工用户的任何其他目录。在 IAM Identity Center 中创建用户后,您需要为此用户指定新的证书。当您以该用户身份登录以测试您的 AWS 托管应用程序时,您将使用新的凭据登录,而不是使用任何用于访问公司资源的现有凭据登录。
注意
我们建议您仅出于测试目的使用此方法来创建用户。
-
在 IAM Identity Center 控制台的导航窗格中,选择用户,然后选择添加用户。
-
按照控制台中的指导添加用户。继续向该用户发送一封选中密码设置说明的电子邮件,并确保指定有权访问的电子邮件地址。
-
在导航窗格中,选择 AWS 账户,选中账户旁边的复选框,然后选择分配用户或群组。
-
选择 “用户” 选项卡,选中刚刚添加的用户旁边的复选框,然后选择 “下一步”。
-
选择 “创建权限集”,然后按照控制台中的指导创建
AdministratorAccess预定义的权限集。 -
完成后,新的权限集将出现在列表中。关闭浏览器窗口中的 “权限集” 选项卡,返回到 “分配用户和组” 选项卡,然后选择 “创建权限集” 旁边的刷新图标。
-
在 “分配用户和用户组” 浏览器选项卡上,新的权限集出现在列表中。选中权限集名称旁边的复选框,选择 “下一步”,然后选择 “提交”。
-
注销 Console。
第 3 步:以管理员用户身份登录 AWS 访问门户
AWS 访问门户是一个 Web 门户,可让您创建的用户访问 AWS 管理控制台。在登录 AWS 访问门户之前,您必须接受加入 IAM Identity Center 的邀请并激活您的用户证书。
-
请查看您的电子邮件以获取主题行加入 AWS IAM 身份中心的邀请。
-
选择 “接受邀请”,然后按照注册页面上的指导为您的用户设置新密码、登录和注册 MFA 设备。
-
注册 MFA 设备后, AWS 访问门户打开。
-
在 AWS 访问门户中,选择您的, AWS 账户 然后选择AdministratorAccess。您将被重定向到 AWS 管理控制台。
第 4 步:将 AWS 托管应用程序配置为使用 IAM 身份中心
-
登录 AWS 管理控制台后,打开计划使用的 AWS 托管应用程序的控制台。
-
按照控制台中的指导将 AWS 托管应用程序配置为使用 IAM Identity Center。在此过程中,您可以将您创建的用户分配给应用程序。
设置 IAM 身份中心的账户实例以测试 AWS 托管应用程序
注意
IAM Identity Center 的账户实例将您的部署限制为单个 AWS 账户。您必须在与要测试的 AWS 应用程序 AWS 区域 相同的情况下启用此实例。
确认您的应用程序
所有与 IAM 身份中心配合使用的 AWS 托管应用程序均可与 IAM 身份中心的组织实例一起使用。但是,其中只有部分应用程序可以用于 IAM Identity Center 的账户实例。查看清单AWS 可与 IAM 身份中心配合使用的托管应用程序.
第 1 步。启用 IAM 身份中心的账户实例
-
执行以下任一操作即可登录 AWS Management Console。
-
AWS (root 用户)新手 — 选择 R oot 用户并输入您的 AWS 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。
-
已使用 AWS 独立版 AWS 账户 (IAM 证书)— 使用具有管理权限的 IAM 凭证登录。
-
-
在 AWS 管理控制台主页上,选择 IAM 身份中心服务或导航到 IAM 身份中心控制台
。 -
请选择启用。
-
在 “启用 IAM 身份中心 AWS Organizations” 页面上,选择启用 IAM 身份中心的账户实例。
-
在启用 IAM Identity Center 的账户实例页面上,查看信息,并选择添加要与此账户实例关联的标签。然后选择 Enable。
第 2 步:在 IAM 身份中心创建用户
此过程介绍如何直接在内置的 Identity Center 目录中创建用户。此目录未连接到您的管理员可能用来管理员工用户的任何其他目录。在 IAM Identity Center 中创建用户后,您需要为此用户指定新的证书。当您以该用户身份登录以测试您的 AWS 托管应用程序时,您将使用新的凭据登录。新的证书将不允许您访问其他公司资源。
注意
我们建议您仅出于测试目的使用此方法来创建用户。
-
在 IAM Identity Center 控制台的导航窗格中,选择用户,然后选择添加用户。
-
按照控制台中的指导添加用户。继续向该用户发送一封选中密码设置说明的电子邮件,并确保指定有权访问的电子邮件地址。
-
注销 Console。
第 3 步:以 IAM 身份中心用户身份登录 AWS 访问门户
AWS 访问门户是一个 Web 门户,可让您创建的用户访问 AWS 管理控制台。在登录 AWS 访问门户之前,您必须接受加入 IAM Identity Center 的邀请并激活您的用户证书。
-
请查看您的电子邮件以获取主题行加入 AWS IAM 身份中心的邀请。
-
选择 “接受邀请”,然后按照注册页面上的指导为您的用户设置新密码、登录和注册 MFA 设备。
-
注册 MFA 设备后, AWS 访问门户打开。当应用程序可供您使用时,您可以在 “应用程序” 选项卡下找到它们。
注意
AWS 支持账户实例的应用程序允许用户无需额外权限即可登录应用程序。因此,“帐户” 选项卡将保持为空。
第 4 步:将 AWS 托管应用程序配置为使用 IAM 身份中心
-
登录 AWS 管理控制台后,打开计划使用的 AWS 托管应用程序的控制台。
-
按照控制台中的指导将 AWS 托管应用程序配置为使用 IAM Identity Center。在此过程中,您可以将您创建的用户分配给应用程序。
