快速入门:设置 IAM Identity Center 以测试 AWS 托管应用程序 - AWS IAM Identity Center
先决条件 设置组织实例以测试 AWS 托管应用程序 设置账户实例以测试 AWS 托管应用程序

快速入门:设置 IAM Identity Center 以测试 AWS 托管应用程序

如果管理员尚未向您授予 IAM Identity Center 的访问权限,您可以使用本主题中的步骤设置 IAM Identity Center 以测试 AWS 托管应用程序。您将了解如何启用 IAM Identity Center、在 IAM Identity Center 中直接创建用户,以及将该用户分配到 AWS 托管应用程序。

本主题提供了通过以下任意一种方式启用 IAM Identity Center 的快速入门步骤:

  • 通过 AWS Organizations - 如果选择此选项,将创建 IAM Identity Center 的组织实例

  • 仅在您的特定 AWS 账户中 - 如果选择此选项,将创建 IAM Identity Center 的账户实例

有关这些实例类型的更多信息,请参阅 IAM Identity Center 的组织和账户实例

先决条件

启用 IAM Identity Center 之前,请确认以下事项:

  • 您拥有 AWS 账户 - 如果您没有 AWS 账户,请参阅《AWS 账户管理参考指南》中的 AWS 账户入门

  • AWS 托管应用程序与 IAM Identity Center 兼容 - 查看与 IAM Identity Center 集成的 可与 IAM Identity Center 搭配使用的 AWS 托管应用程序 托管应用程序列表,以确认您要测试的 AWS 托管应用程序与 IAM Identity Center 兼容。

  • 您已查看区域注意事项 - 确保您要测试的 AWS 托管应用程序在您启用 IAM Identity Center 的 AWS 区域受支持。有关更多信息,请参阅 AWS 托管应用程序的文档。

    注意

    您必须将 AWS 托管应用程序部署在您计划启用 IAM Identity Center 的同一区域。

设置 IAM Identity Center 的组织实例以测试 AWS 托管应用程序

注意

本主题介绍如何使用 AWS Organizations 启用 IAM Identity Center,这是启用 IAM Identity Center 的推荐方式。

确认您的权限

要使用 AWS Organizations 启用 IAM Identity Center,您必须以下列任一身份登录 AWS Management Console:

  • 在将通过 AWS Organizations 启用 IAM Identity Center 的 AWS 账户中具有管理权限的用户。

  • 根用户(除非不存在其他管理用户,否则不推荐使用)。

    重要

    根用户有权访问该账户中的所有 AWS 服务和资源。作为安全最佳实践,除非您没有其他凭证,否则请勿使用账户的根凭证访问 AWS 资源。这些凭证可提供不受限的账户访问且难以撤销。

第 1 步:使用 AWS Organizations 启用 IAM Identity Center

  1. 请执行以下一项操作,登录 AWS 管理控制台。

    • AWS 新用户(根用户)通过选择根用户并输入您的 AWS 账户电子邮件地址,以账户所有者身份登录。在下一页,输入您的密码。

    • 已经通过独立 AWS 账户(IAM 凭证)使用 AWS - 使用具有管理权限的 IAM 凭证登录。

  2. 在 AWS Management Console 主页上,选择 IAM Identity Center 服务或导航到 IAM Identity Center 控制台

  3. 选择启用,并通过 AWS Organizations 启用 IAM Identity Center。执行此操作时,您正在创建 IAM Identity Center 的组织实例

第 2 步:创建 IAM Identity Center 中的管理用户

此过程介绍如何直接在内置的 Identity Center 目录中创建用户。此目录未连接到管理员可能用于管理工作用户的任何其他目录。在 IAM Identity Center 中创建用户后,您需要为此用户指定新凭证。当您以此用户身份登录以测试 AWS 托管应用程序时,您将使用新凭证登录,而不是使用用于访问企业资源的任何现有凭证。

注意

建议您仅出于测试目的使用此方法创建用户。

  1. 在 IAM Identity Center 控制台的导航窗格中,选择用户,然后选择添加用户

  2. 请按照控制台中的指导添加用户。保持选中向该用户发送包含密码设置说明的电子邮件,并确保指定您有权访问的电子邮件地址。

  3. 在导航窗格中,选择 AWS 账户,选中您账户旁边的复选框,然后选择分配用户或组

  4. 选择用户选项卡,选中您刚添加的用户旁边的复选框,然后选择下一步

  5. 选择创建权限集,然后按照控制台中的指导创建预定义的 AdministratorAccess 权限集。

  6. 完成后,新的权限集会显示在列表中。关闭浏览器窗口中的权限集选项卡,返回分配用户和组选项卡,然后选择创建权限集旁边的刷新图标。

  7. 分配用户和组浏览器选项卡中,新的权限集会显示在列表中。选中权限集名称旁边的复选框,选择下一步,然后选择提交

  8. 注销 Console。

第 3 步:以管理用户权限登录 AWS 访问门户

AWS 访问门户是一个 Web 门户,可让您创建的用户访问 AWS Management Console。在登录 AWS 访问门户之前,您必须接受加入 IAM Identity Center 的邀请并激活用户凭证。

  1. 检查您的电子邮件,查找主题为邀请加入 AWS IAM Identity Center 的邮件。

  2. 选择接受邀请,然后按照注册页面上的指导设置新密码、登录并为您的用户注册 MFA 设备。

  3. 注册 MFA 设备后,AWS 访问门户将打开。

  4. 在 AWS 访问门户中,选择您的 AWS 账户并选择 AdministratorAccess。随后您将被重定向至 AWS 管理控制台。

第 4 步:配置 AWS 托管应用程序以使用 IAM Identity Center

  1. 登录 AWS Management Console 时,打开您计划使用的 AWS 托管应用程序的控制台。

  2. 按照控制台中的指导配置 AWS 托管应用程序以使用 IAM Identity Center。在此过程中,您可以将创建的用户分配给该应用程序。

设置 IAM Identity Center 的账户实例以测试 AWS 托管应用程序

注意

IAM Identity Center 的账户实例将部署范围限定在单个 AWS 账户内。您必须在要测试的 AWS 应用程序所在的同一 AWS 区域中启用此实例。

确认您的应用程序

所有与 IAM Identity Center 兼容的 AWS 托管应用程序都可以与 IAM Identity Center 的组织实例一起使用。但是,只有其中部分应用程序可以与 IAM Identity Center 的账户实例一起使用。查看 可与 IAM Identity Center 搭配使用的 AWS 托管应用程序 列表。

步骤 1. 启用 IAM Identity Center 的账户实例

  1. 请执行以下一项操作,登录 AWS 管理控制台。

    • AWS 新用户(根用户)通过选择根用户并输入您的 AWS 账户电子邮件地址,以账户所有者身份登录。在下一页,输入您的密码。

    • 已经通过独立 AWS 账户(IAM 凭证)使用 AWS - 使用具有管理权限的 IAM 凭证登录。

  2. 在 AWS Management Console 主页上,选择 IAM Identity Center 服务或导航到 IAM Identity Center 控制台

  3. 请选择启用

  4. 使用 AWS Organizations 启用 IAM Identity Center 页面上,选择启用 IAM Identity Center 的账户实例

  5. 启用 IAM Identity Center 账户实例页面上,查看信息并可选地添加要与此账户实例关联的标签。然后选择 Enable

第 2 步:在 IAM Identity Center 中创建用户

此过程介绍如何直接在内置的 Identity Center 目录中创建用户。此目录未连接到管理员可能用于管理工作用户的任何其他目录。在 IAM Identity Center 中创建用户后,您需要为此用户指定新凭证。当您以此用户身份登录以测试 AWS 托管应用程序时,您将使用新凭证登录。新凭证不允许您访问其他企业资源

注意

建议您仅出于测试目的使用此方法创建用户。

  1. 在 IAM Identity Center 控制台的导航窗格中,选择用户,然后选择添加用户

  2. 请按照控制台中的指导添加用户。保持选中向该用户发送包含密码设置说明的电子邮件,并确保指定您有权访问的电子邮件地址。

  3. 注销 Console。

第 3 步:作为 IAM Identity Center 用户登录 AWS 访问门户

AWS 访问门户是一个 Web 门户,可让您创建的用户访问 AWS Management Console。在登录 AWS 访问门户之前,您必须接受加入 IAM Identity Center 的邀请并激活用户凭证。

  1. 检查您的电子邮件,查找主题为邀请加入 AWS IAM Identity Center 的邮件。

  2. 选择接受邀请,然后按照注册页面上的指导设置新密码、登录并为您的用户注册 MFA 设备。

  3. 注册 MFA 设备后,AWS 访问门户将打开。当应用程序对您可用时,您可以在应用程序选项卡下找到它们。

    注意

    支持账户实例的 AWS 应用程序允许用户登录应用程序,而无需额外权限。因此,账户选项卡将保持为空。

第 4 步:配置 AWS 托管应用程序以使用 IAM Identity Center

  1. 登录 AWS Management Console 时,打开您计划使用的 AWS 托管应用程序的控制台。

  2. 按照控制台中的指导配置 AWS 托管应用程序以使用 IAM Identity Center。在此过程中,您可以将创建的用户分配给该应用程序。