本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 开始使用 IAM Identity Center
以下概述如何开始使用 IAM Identity Center。
1. **启用 IAM Identity Center**
当您[启用 IAM Identity Center](enable-identity-center.md)时,您需要在两种类型的 IAM Identity Center 实例之间进行选择。这些类型是:[*组织实例*](organization-instances-identity-center.md)(推荐)和[*账户实例*](account-instances-identity-center.md)。要了解这些实例类型的不同功能,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
**注意**
启用 IAM Identity Center 后,您可以通过以下任一方式登录并打开 [IAM Identity Center 控制台](https://console.aws.amazon.com//singlesignon/):
**组织实例**- AWS 使用管理账户中具有管理权限的证书登录。
**账户实例**-在启用 IAM Identity Center 的 AWS 账户 位置 AWS 使用具有管理权限的证书登录。
1. **将您的身份源连接到 IAM Identity Center**
在 IAM Identity Center 控制台中,确认您要使用的身份源。有关身份源,请参阅如下内容:
+ **外部身份提供者** - 如果您有现有的身份提供者来管理工作用户,可以将其连接到 IAM Identity Center。有关如何配置常用身份提供者来使用 IAM Identity Center 的更多信息,请参阅 [IAM Identity Center 身份源教程](tutorials.md)。
+ **Active Directory** - 如果您使用 Active Directory 管理工作用户,可以将其连接到 IAM Identity Center。有关更多信息,请参阅 [使用 Active Directory 作为身份源](gs-ad.md)。
+ **IAM Identity Center** - 或者,您可以[直接在 IAM Identity Center 中创建和管理用户和组](quick-start-default-idc.md)。
**注意**
目前,您必须使用外部身份提供商作为身份来源,才能利用您的 IAM Identity Center 的多区域设置。有关此设置的好处的更多信息,请参阅[跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。
1. **设置用户访问权限 AWS 账户 (仅限组织实例)**
如果您使用的是 IAM Identity Center 的组织实例,则可以[向用户或群组分配访问](https://docs.aws.amazon.com//singlesignon/latest/userguide/assignusers.html)权限 AWS 账户,使用[权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/permissionsetsconcept.html)向您的用户授予对 AWS 账户 和资源的访问权限。
1. **设置用户对应用程序的访问权限**
使用 IAM Identity Center,您可以授予用户对两种类型应用程序的访问权限:
1. **[AWS 托管应用程序](awsapps.md)**
+ 您可以将 IAM 身份中心与 Amazon Q Business 和 Amazon Redshi AWS CLI ft 等 AWS 托管应用程序一起使用。有关更多信息,请参阅[AWS 托管应用程序](awsapps.md)和[将 AWS CLI 与 IAM 身份中心集成](integrating-aws-cli.md)。
1. **[客户托管的应用程序](customermanagedapps.md)**
+ 您可将以下任一类型的客户管理型应用程序与 IAM Identity Center 集成:
+ [IAM Identity Center 目录中列出的应用程序](saasapps.md)
+ [您的自定义应用程序](customermanagedapps-set-up-your-own-app-saml2.md)
+ 配置应用程序后,您可以[分配用户对应用程序的访问权限](assignuserstoapp.md)。
1. **向您的用户提供 AWS 访问门户的登录说明**
AWS 访问门户是一个门户网站,可让您的用户无缝访问他们分配的所有应用程序 AWS 账户,或两者兼而有之。IAM Identity Center 中的新用户必须先激活其用户证书,然后才能登录 AWS 访问门户。
有关如何登录 AWS 访问门户的信息,请参阅[《*AWS 登录 用户指南》*中的登录 AWS 访问门户](https://docs.aws.amazon.com//signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。要了解 AWS 访问门户的登录流程,请参阅[登录 AWS 访问门户](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtosignin.html)。
# IAM Identity Center 先决条件和注意事项
您可以使用 IAM Identity Center 仅访问 AWS 托管应用程序, AWS 账户 也可以仅访问托管应用程序,也可以同时使用这两者。如果您使用 IAM 联合身份验证来管理对的访问权限 AWS 账户,则可以在使用 IAM 身份中心进行应用程序访问的同时继续这样做。
在启用 IAM Identity Center 之前,请考虑以下事项:
+ AWS 区域
您首先在单个[支持的](regions.md)区域中为 IAM 身份中心的每个实例启用 IAM 身份中心。如果您想使用 IAM Identity Center 进行单点登录以访问 AWS 账户,则该区域必须对您组织中的所有用户都可访问。如果您计划使用 IAM Identity Center 访问应用程序,请注意,某些 AWS 托管应用程序(例如 SageMaker Amazon AI)只能在其支持的区域运行。此外,大多数 AWS 托管应用程序都要求 IAM Identity Center 在与应用程序相同的区域中可用。这可以通过将它们放在同一个区域来实现,或者在支持的情况下,通过将 IAM Identity Center 实例复制到 AWS 托管应用程序的所需部署区域来实现。有关更多信息,请参阅 [选择的注意事项 AWS 区域](identity-center-region-considerations.md)。
+ 仅应用程序访问
您只能使用 IAM Identity Center,使用您现有的身份提供商访问应用程序(例如 Kiro)。有关更多信息,请参阅 [仅将 IAM Identity Center 用于应用程序的用户访问](identity-center-for-apps-only.md)。
**注意**
对应用程序资源的访问由应用程序所有者独立管理。
+ IAM 角色的配额
IAM Identity Center 通过创建 IAM 角色,向用户提供账户资源访问权限。有关更多信息,请参阅 [IAM Identity Center 所创建 IAM 角色](identity-center-and-iam-roles.md)。
+ IAM 身份中心和 AWS Organizations
AWS Organizations 建议在 IAM 身份中心中使用,但不是必需的。如果您还没有设置组织,则不必执行此操作。如果您已经设置 AWS Organizations 并打算将 IAM Identity Center 添加到您的组织,请确保所有 AWS Organizations 功能都已启用。有关更多信息,请参阅 [IAM 身份中心和 AWS Organizations](identity-center-and-orgs.md)。
IAM Identity Center Web 界面,包括访问门户和 IAM Identity Center 控制台,旨在供人类通过支持的 Web 浏览器进行访问。兼容的浏览器包括最新的三个版本的微软 Edge、Mozilla Firefox、谷歌浏览器和苹果 Safari。不支持使用非基于浏览器的路径访问这些端点。要以编程方式访问 IAM 身份中心服务,我们建议使用 IAM 身份中心和身份存储 API 参考指南中 APIs 提供的文档。
# 选择的注意事项 AWS 区域
您可以选择单一启用 IAM Identity Center,该中心可供全球用户使用。 AWS 区域 这种全球可用性使您可以更轻松地配置用户对多个 AWS 账户 和应用程序的访问权限。以下是选择 AWS 区域的关键考虑因素。
+ **用户的地理位置**-当您选择地理位置最接近大多数最终用户的区域时,他们访问 AWS 访问门户和 AWS 托管应用程序(例如 Amazon A SageMaker I)的延迟将更低。
+ **选择加入区域(默认情况下禁用的区域)**-选择加入区域是 AWS 区域 默认禁用的区域。要使用选择加入区域,您必须首先将其启用。有关更多信息,请参阅[在选择加入区域中管理 IAM Identity Center](regions.md#manually-enabled-regions)。
+ **将 IAM 身份中心复制到其他区域** — 如果您计划将 IAM 身份中心复制到其他区域 AWS 区域,则必须选择默认启用的区域。有关更多信息,请参阅 [跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。
+ **为 AWS 托管应用程序选择部署区域**- AWS 托管应用程序只能 AWS 区域 在可用的区域内运行。许多 AWS 托管应用程序也只能在启用 IAM Identity Center 或将其复制到的区域(主区域或其他区域)中运行。要确认您的 IAM 身份中心实例是否支持复制到其他区域,请参阅[跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。如果无法进行复制,请考虑在计划使用 AWS 托管应用程序的区域启用 IAM 身份中心。
+ **数字主权** – 数字主权法规或公司政策可能要求强制使用特定 AWS 区域。请咨询公司法律部门。
+ **身份源** — 如果您使用[AWS Managed Microsoft AD](connectawsad.md)或您在 Act [ive Directory (AD) 中的自行管理目录](connectonpremad.md)作为身份源,则其主区域必须与您启用 IAM Identity Center 时所在的区域相匹配。 AWS 区域
+ **使用 Amazon Simple Email Service 的跨区域电子邮件** - 在某些区域,IAM Identity Center 可能会调用不同区域中的 [Amazon Simple Email Service(Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)来发送电子邮件。在这些跨区域调用中,IAM Identity Center 会将特定用户属性发送到其他区域。有关更多信息,请参阅 [使用 Amazon SES 的跨区域电子邮件](regions.md#cross-region-calls)。
+ **AWS Control Tower**— 如果您从启用 IAM Identity Center 的组织实例 AWS Control Tower,则该实例将在与 AWS Control Tower 着陆区相同的区域中创建。
**Topics**
+ [IAM Identity Center 区域数据存储和操作](regions.md)
+ [切换 AWS 区域](switching-regions.md)
+ [禁用已启用 IAM 身份中心 AWS 区域 的地方](disabling-region-with-identity-center.md)
# IAM Identity Center 区域数据存储和操作
了解 IAM Identity Center 如何处理跨 AWS 区域的数据存储和操作。
## 了解 IAM Identity Center 如何存储数据
启用 IAM Identity Center 后,您在 IAM 身份中心配置的所有数据都存储在您启用该功能的区域中。这些数据包括目录配置、权限集、应用程序实例和对 AWS 账户 应用程序的用户分配。如果使用的是 IAM Identity Center 身份存储,则您在 IAM Identity Center 中创建的所有用户和组也存储在同一区域中。如果您将 IAM Identity Center 实例复制到其他区域,IAM Identity Center 会自动将用户、群组、权限集及其分配以及其他元数据和配置复制到这些区域。
## 使用 Amazon SES 的跨区域电子邮件
当最终用户尝试使用一次性密码(OTP)作为第二个身份验证因素登录时,IAM Identity Center 使用 [Amazon Simple Email Service(Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)向他们发送电子邮件。还会针对某些身份和凭证管理事件(例如邀请用户设置初始密码、验证电子邮件地址和重置密码)发送这些电子邮件。Amazon SES 在 IAM 身份中心支持的子集中提供。 AWS 区域
当 Amazon SES 在 AWS 区域本地可用时,IAM Identity Center 会调用 Amazon SES 本地端点。当 Amazon SES 在本地不可用时,IAM Identity Center 会调用不同 AWS 区域中的 Amazon SES 端点,如下表所示。
| IAM Identity Center 区域代码 | IAM Identity Center 区域名称 | Amazon SES 区域代码 | Amazon SES 区域名称 |
| --- | --- | --- | --- |
| ap-east-1 | 亚太地区(香港) | ap-northeast-2 | 亚太地区(首尔) |
| ap-east-2 | 亚太地区(台北) | ap-northeast-1 | 亚太地区(东京) |
| ap-south-2 | 亚太地区(海得拉巴) | ap-south-1 | 亚太地区(孟买) |
| ap-southeast-4 | 亚太地区(墨尔本) | ap-southeast-2 | 亚太地区(悉尼) |
| ap-southeast-5 | 亚太地区(马来西亚) | ap-southeast-1 | 亚太地区(新加坡) |
| ap-southeast-6 | 亚太地区(新西兰) | ap-southeast-2 | 亚太地区(悉尼) |
| ap-southeast-7 | 亚太地区(泰国) | ap-northeast-3 | 亚太地区(大阪) |
| ca-west-1 | 加拿大西部(卡尔加里) | ca-central-1 | 加拿大(中部) |
| eu-south-2 | 欧洲(西班牙) | eu-west-3 | 欧洲地区(巴黎) |
| eu-central-2 | 欧洲(苏黎世) | eu-central-1 | 欧洲地区(法兰克福) |
| mx-central-1 | 墨西哥(中部) | us-east-2 | 美国东部(俄亥俄州) |
| me-central-1 | 中东(阿联酋): | eu-central-1 | 欧洲地区(法兰克福) |
| us-gov-east-1 | AWS GovCloud (美国东部) | us-gov-west-1 | AWS GovCloud (美国西部) |
在这些跨区域调用中,IAM Identity Center 可能会发送以下用户属性:
+ 电子邮件地址
+ 名
+ 姓
+ 账号进入 AWS Organizations
+ AWS 访问门户网址
+ 用户名
+ 目录 ID
+ 用户 ID
## 在选择加入区域(默认禁用的区域)中管理 IAM Identity Center
默认情况下 AWS 区域 ,大多数 AWS 服务都启用了操作功能,但是如果您想使用 IAM Iden [tity Center,则必须启用以下可选区域](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion):
+ 非洲(开普敦)
+ 亚太地区(香港)
+ 亚太地区(台北)
+ 亚太地区(海得拉巴)
+ 亚太地区(雅加达)
+ 亚太地区(墨尔本)
+ 亚太地区(马来西亚)
+ 亚太地区(新西兰)
+ 亚太地区(泰国)
+ 加拿大西部(卡尔加里)
+ 欧洲地区(米兰)
+ 欧洲(西班牙)
+ 欧洲(苏黎世)
+ 以色列(特拉维夫)
+ 墨西哥(中部)
+ 中东(巴林)
+ 中东(阿联酋):
如果您在选择加入区域中部署 IAM Identity Center,须在想要管理对 IAM Identity Center 的访问权限的所有账户中启用该区域。所有账户都需要此配置,无论您是否将在该区域中创建资源。可为组织中的当前账户启用区域,且在添加新账户时必须重复此操作。有关说明,请参阅《*AWS Organizations 用户指南*》中的[在您的组织中启用或禁用区域](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization)。为避免重复这些附加步骤,可选择在[默认启用区域](#regions-enabled-by-default)部署 IAM Identity Center。
**注意**
您的 AWS 成员账户必须选择与您的 IAM Identity Center 实例所在的选择加入区域相同的区域,这样您就可以从访问门户 AWS 访问该 AWS 成员账户。
**在选择加入区域中存储的元数据**
当您在选择加入中为管理账户启用 IAM Identity Center 时 AWS 区域,任何成员账户的以下 IAM 身份中心元数据都存储在该区域中。
+ 帐户 ID
+ 帐户名称
+ 帐户电子邮件
+ IAM 身份中心在成员账户中创建的 IAM 角色的 Amazon 资源名称 (ARNs)
## AWS 区域 默认情况下处于启用状态
以下区域默认启用,您可以在这些区域中启用 IAM Identity Center。
+ 美国东部(俄亥俄州)
+ 美国东部(弗吉尼亚州北部)
+ 美国西部(俄勒冈州)
+ 美国西部(北加利福尼亚)
+ 欧洲地区(巴黎)
+ 南美洲(圣保罗)
+ 亚太地区(孟买)
+ 欧洲地区(斯德哥尔摩)
+ 亚太地区(首尔)
+ 亚太地区(东京)
+ 欧洲地区(爱尔兰)
+ 欧洲地区(法兰克福)
+ 欧洲地区(伦敦)
+ 亚太地区(新加坡)
+ 亚太地区(悉尼)
+ 加拿大(中部)
+ 亚太地区(大阪)
# 切换 AWS 区域
我们建议您将 IAM Identity Center 安装在您计划向用户开放的区域,而不是您可能需要禁用的区域。有关更多信息,请参阅 [选择的注意事项 AWS 区域](identity-center-region-considerations.md)。
您只能通过[删除当前的 IAM Identity Center 实例](delete-config.md)并在另一个区域中创建实例来切换 IAM Identity Center 区域。如果您已使用现有的 IAM Identity Center 实例启用了 AWS 托管应用程序,请在删除 IAM Identity Center 之前禁用该应用程序。有关禁用 AWS 托管应用程序的说明,请参阅[禁用 AWS 托管应用程序](awsapps-remove.md)。
**注意**
如果您正在考虑切换 IAM 身份中心区域以允许在另一个区域部署 AWS 托管应用程序,请考虑将您的 IAM 身份中心实例复制到该区域。有关更多信息,请参阅 [跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。
**新区域中的配置注意事项**
须在新的 IAM Identity Center 实例中重新创建用户、组、权限集、应用程序和分配。您可以使用 IAM Identity Center 账户和应用程序分配[APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)来获取配置的快照,然后使用该快照在新区域中重建您的配置。切换到其他区域还会更改[AWS 访问门户的 URL,该门户](using-the-portal.md)为您的用户提供了对其 AWS 账户 和应用程序的单点登录访问权限。可能还需要通过新实例管理控制台重新创建 IAM Identity Center 的部分配置。
# 禁用已启用 IAM 身份中心 AWS 区域 的地方
如果您禁用安装了 IAM 身份中心的,则也会禁用 IAM 身份中心。 AWS 区域 在某个区域禁用 IAM Identity Center 后,该区域的用户将无法单点登录访问 AWS 账户 和应用程序。
要在[选择加入](regions.md#manually-enabled-regions)模式下重新启用 IAM 身份中心 AWS 区域,您必须重新启用该区域。由于 IAM Identity Center 必须重新处理所有暂停的事件,因此重新启用 IAM Identity Center 可能需要一些时间。
**注意**
IAM Identity Center 只能管理允许在中使用的访问权限 AWS 区域。 AWS 账户 要管理组织中所有账户的访问权限,请在管理账户中启用 IAM Identity Center,该账户会自动激活以与 IAM Identity Center 配合使用。 AWS 区域
有关启用和禁用的更多信息 AWS 区域,请参阅《*AWS 一般参考*》 AWS 区域中的 “[管理](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)”。
# 仅将 IAM Identity Center 用于应用程序的用户访问
您可以使用 IAM 身份中心让用户访问诸如 Kiro 之类的应用程序 AWS 账户,或两者兼而有之。可连接现有身份提供者,同步目录中的用户和组,或者[直接在 IAM Identity Center 中创建和管理用户](quick-start-default-idc.md)。有关如何将现有身份提供者连接至 IAM Identity Center 的信息,请参阅 [IAM Identity Center 身份源教程](tutorials.md)。
**已经在使用 IAM 进行访问了 AWS 账户吗?**
您无需对当前 AWS 账户 的工作流程进行任何更改即可使用 IAM Identity Center 访问 AWS 托管应用程序。如果您使用[与 IAM 的联合](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam)身份验证进行 AWS 账户 访问,则您的用户可以继续以与往常相同的方式进行访问 AWS 账户 ,并且您可以继续使用现有的工作流程来管理该访问权限。
# IAM Identity Center 所创建 IAM 角色
当您将用户分配到 AWS 账户时,IAM Identity Center 会创建 IAM 角色来向用户授予资源访问权限。
当您分配权限集时,IAM Identity Center 会在每个账户中创建由 IAM Identity Center 控制的相应 IAM 角色,并将权限集中指定的策略附加给这些角色。IAM Identity Center 管理角色,并允许您定义的授权用户使用 AWS 访问门户或代入该角色。 AWS CLI在您修改权限集时,IAM Identity Center 会确保相应的 IAM 策略和角色也相应更新。将您的 IAM 身份中心实例复制到其他区域不会影响现有的 IAM 角色,也不会创建新的 IAM 角色。
**注意**
权限集不用于向应用程序授予权限。
如果您已经在中配置了 IAM 角色 AWS 账户,我们建议您检查您的账户是否已接近 IAM 角色的配额。每个账户的 IAM 角色默认配额为 1000 个角色。有关更多信息,请参阅 [IAM 对象限额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)。
如果您已接近此限额,可以考虑申请增加限额。否则,当您为已超过 IAM 角色限额的帐户预置权限集时,IAM Identity Center 可能会遇到问题。有关如何请求提高限额的信息,请参阅 *Service Quotas 用户指南*中的[请求增加限额](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)。
**注意**
如果您正在查看已使用 IAM Identity Center 账户中的 IAM 角色,您可能会注意到以 “AWSReservedSSO\$1” 开头的角色名称。这些角色是 IAM Identity Center 服务在帐户中创建的角色,它们来自向帐户分配权限集。
# IAM 身份中心和 AWS Organizations
AWS Organizations 建议在 IAM 身份中心中使用,但不是必需的。如果您还没有设置组织,则不必执行此操作。启用 IAM Identity Center 时,您将选择是否使用启用该服务 AWS Organizations。当你建立组织时,建立 AWS 账户 该组织的用户将成为该组织的管理帐户。此时, AWS 账户 的根用户将是组织管理账户的所有者。您邀请加入组织的任何其他 AWS 账户 均为成员账户。管理账户将创建组织资源、组织单位,以及管理成员账户的策略。权限将通过管理账户委派给成员账户。
**注意**
我们建议您使用启用 IAM 身份中心 AWS Organizations,这将创建 IAM 身份中心的组织实例。组织实例是我们推荐的最佳实践,因为它支持 IAM Identity Center 的所有功能,并提供集中管理能力。有关更多信息,请参阅 [IAM Identity Center 的组织实例](organization-instances-identity-center.md)。
如果您已经设置 AWS Organizations 并打算将 IAM Identity Center 添加到您的组织,请确保所有 AWS Organizations 功能都已启用。在创建组织时,默认情况下将启用所有功能。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[启用企业中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
要启用 IAM Identity Center 的组织实例,您必须以拥有 AWS Organizations 管理凭证的用户或根用户身份登录管理账户(除非不存在其他管理用户,否则不建议这样做)登录管理账户。 AWS 管理控制台 有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[创建和管理 AWS 组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)。
使用 AWS Organizations 成员账户的管理证书登录后,您可以启用 IAM Identity Center 的账户实例。账户实例的功能有限,并且绑定到单个 AWS 账户。
# IAM Identity Center 的组织和账户实例
实例是对 IAM Identity Center 的单次部署。IAM Identity Center 有两种可用实例:*组织实例*和*账户实例*。
+ 组织实例(推荐)
您在 AWS Organizations 管理账户中启用的 IAM 身份中心实例。组织实例支持 IAM Identity Center 的所有功能。为减少管理节点数量,建议您部署组织实例而非账户实例。
+ 账户实例
绑定到单 AWS 账户个 IAM Identity Center 的实例,并且仅在启用该实例的 AWS 账户 和 AWS 区域内可见。账户实例适用于更简单的单账户场景。您可以通过以下任一途径启用账户实例:
+ AWS 账户 而且不是由管理的 AWS Organizations
+ 中的会员账户 AWS Organizations
## AWS 账户 可以启用 IAM 身份中心的类型
要启用 IAM Identit AWS 管理控制台 y Center,请使用以下凭证之一登录,具体取决于您要创建的实例类型:
+ **您的 AWS Organizations 管理账户(推荐)**— 创建 IAM Identity Center 的[组织实例](organization-instances-identity-center.md)所必需的。使用组织实例,您可以在整个组织内实现多账户权限和应用程序分配。
+ **您的 AWS Organizations 成员账户** — 用于创建 IAM Identity Center 的[账户实例](account-instances-identity-center.md),以便在该成员账户中启用应用程序分配。一个组织中可以存在一个或多个具有成员级实例的账户。
+ **独立版 AWS 账户** — 用于创建 IAM Identity Center 的[组织实例](organization-instances-identity-center.md)[或账户实例](account-instances-identity-center.md)。独立版 AWS 账户 不是由管理的 AWS Organizations。您只能将一个 IAM Identity Center 实例与独立实例关联, AWS 账户 并将该实例用于该独立实例中的应用程序分配 AWS 账户。
使用以下表格比较实例类型提供的功能:
| 能力 | AWS Organizations 管理账户中的实例(推荐) | 成员账户中的实例 | 独立版中的实例 AWS 账户 |
| --- | --- | --- | --- |
| 管理用户 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| AWS 访问门户,可通过单点登录访问您的 AWS 托管应用程序 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| OAuth 2.0 (OIDC) 客户管理的应用程序 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png)是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png)是 |
| 多账户权限 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-no.png) 否 |
| AWS 访问门户,通过单点登录即可访问您的 AWS 账户 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-no.png) 否 |
| SAML 2.0 客户管理型应用程序 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-no.png) 否 |
| 委派管理员可以管理实例 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-no.png) 否 |
| 使用客户管理的 KMS 密钥进行静态加密 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-no.png) 否 |
| 将 IAM 身份中心复制到其他区域 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-no.png) 否 |
有关 AWS 托管应用程序和 IAM 身份中心的更多信息,请参阅[AWS 可与 IAM 身份中心配合使用的托管应用程序](awsapps-that-work-with-identity-center.md)。
**Topics**
+ [AWS 账户 可以启用 IAM 身份中心的类型](#identity-center-instances-account-types)
+ [IAM Identity Center 的组织实例](organization-instances-identity-center.md)
+ [IAM Identity Center 的账户实例](account-instances-identity-center.md)
+ [删除 IAM Identity Center 实例](delete-config.md)
# IAM Identity Center 的组织实例
当你同时启用 IAM 身份中心时 AWS Organizations,你就是在创建 IAM Identity Center 的组织实例。您的组织实例必须在管理账户中启用,您可以通过单个组织实例集中管理用户和组的访问权限。 AWS Organizations中的每个管理账户只能有一个组织实例。
如果您在 2023 年 11 月 15 日之前启用了 IAM Identity Center,则您已经拥有一个 IAM Identity Center 组织实例。
要启用 IAM Identity Center 的组织实例,请参阅[启用 IAM Identity Center 的实例](enable-identity-center.md#to-enable-identity-center-instance)。
## 何时使用组织实例
组织实例是启用 IAM Identity Center 的主要方法,通常情况下,建议使用组织实例。组织实例具有以下优势:
+ **支持 IAM Identity Center 的所有功能** — 包括管理组织 AWS 账户 中多个用户的权限、分配对客户托管应用程序的访问权限以及多区域复制。
+ **减少管理点的数量** - 组织实例只有一个管理点,即管理账户。我们建议您启用组织实例,而不是账户实例,以减少管理点的数量。
+ **集中控制账户实例的创建** — 只要您尚未在可选区域(AWS 区域 默认情况下处于禁用状态)向组织部署 IAM Identity Center 实例,您就可以控制是否可以由组织中的成员账户创建账户实例。
有关启用 IAM Identity Center 组织实例的说明,请参阅 [启用 IAM Identity Center 的实例](enable-identity-center.md#to-enable-identity-center-instance)。
# IAM Identity Center 的账户实例
使用 IAM Identity Center 的账户实例,您可以部署支持的 AWS 托管应用程序和基于 OIDC 的客户托管应用程序。账户实例利用 IAM Identity Center 员工身份和访问门户功能 AWS 账户,支持在单个账户中隔离部署应用程序。
账户实例绑定到单个 AWS 账户 账户,仅用于管理用户和群组对同一个账户中支持的应用程序的访问权限 AWS 区域。每个账户只能使用一个实例 AWS 账户。您可以通过以下任一方式创建账户实例:中的成员账户 AWS Organizations 或不由管理 AWS 账户 的独立账户 AWS Organizations。
有关启用 IAM Identity Center 账户实例的说明,请参阅 [启用 IAM Identity Center 的实例](enable-identity-center.md#to-enable-identity-center-instance) 并选择**账户**选项卡。
## 何时使用账户实例
在大多数情况下,建议使用[组织实例](organization-instances-identity-center.md)。仅当以下任一场景适用时才使用账户实例:
+ 您想对支持的 AWS 托管应用程序进行临时试用,以确定该应用程序是否适合您的业务需求。
+ 您没有计划在整个组织中采用 IAM Identity Center,但您希望支持一个或多个 AWS 托管应用程序。
+ 您拥有一个 IAM Identity Center 组织实例,但希望向一组独立的用户部署受支持的 AWS 托管应用程序,这些用户需要与组织实例中的用户区分开来。
+ 您无法控制您所在的 AWS 组织。例如,第三方控制管理您的 AWS 组织 AWS 账户。
**重要**
如果您计划使用 IAM Identity Center 支持多个账户中的应用程序,请使用组织实例。账户实例不支持此使用案例。
## AWS 支持账户实例的托管应用程序
请参阅[AWS 可与 IAM 身份中心配合使用的托管应用程序](awsapps-that-work-with-identity-center.md)以了解哪些 AWS 托管应用程序支持 IAM Identity Center 的账户实例。使用您的 AWS 托管应用程序验证创建账户实例的可用性。
## 成员账户的可用性限制
要在 AWS Organizations 成员账户中部署 IAM Identity Center 的账户实例,必须满足以下条件之一:
+ 组织中没有 IAM Identity Center 的组织实例。
+ 您组织中有一个 IAM Identity Center 的组织实例,并且实例管理员已允许创建 IAM Identity Center 的账户实例(适用于 2023 年 11 月 15 日之后创建的组织实例)。
+ 组织中有一个 IAM Identity Center 的组织实例,并且实例管理员已手动允许组织中的成员账户创建 IAM Identity Center 的账户实例(适用于 2023 年 11 月 15 日之后创建的组织实例)。有关说明,请参阅[允许在成员账户中创建账户实例](enable-account-instance-console.md)。
除了满足任一上述条件,还须满足以下所有条件:
+ 管理员并未创建[服务控制策略](control-account-instance.md)阻止成员账户创建账户实例。
+ 无论在哪个 AWS 区域,您尚未在同一账户中拥有 IAM Identity Center 实例。
+ 您正在可用 IAM 身份中心 AWS 区域 的地方工作。有关区域的更多信息,请参阅 [IAM Identity Center 区域数据存储和操作](regions.md)。
## 账户实例注意事项
账户实例专为特殊使用案例而设计,并提供组织实例的部分功能。创建账户实例之前,请考虑以下事项:
+ 账户实例不支持权限集,因此不支持对 AWS 账户的访问。
+ 您无法将账户实例转换为或合并到组织实例。
+ 只有特定的 [AWS 托管应用程序](awsapps-that-work-with-identity-center.md)支持账户实例。
+ 将账户实例用于仅在单个账户中使用应用程序的孤立用户,并在所使用应用程序的生命周期内使用。
+ 附加到账户实例的应用程序必须始终附加到该账户实例,直到您删除该应用程序及其资源为止。
+ 账户实例必须保留在创建 AWS 账户 的地方。
# 允许在成员账户中创建账户实例
如果您在 2023 年 11 月 15 日之前启用了 IAM Identity Center,您就已经拥有了 IAM Identity Center [组织实例](organization-instances-identity-center.md),成员账户创建账户实例的功能默认被禁用。您可以通过在 IAM Identity Center 控制台中启用账户实例功能,选择成员账户是否可以创建账户实例。
**要允许组织中的成员账户创建账户实例**
**重要**
为成员账户启用 IAM Identity Center 账户实例属于一次性操作。这表示此操作无法逆转。启用后,您可以通过创建服务控制策略(SCP)限制账户实例创建。有关说明,请参阅[通过服务控制策略控制账户实例的创建](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html)。
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**,然后选择**管理**选项卡。
1. 在 **IAM Identity Center 账户实例**部分,选择**启用 IAM Identity Center 账户实例**。
1. 在**启用 IAM Identity Center 的账户实例**对话框中,选择**启用**,以确认您希望允许组织中的成员账户创建账户实例。
# 使用服务控制策略控制账户实例创建
成员账户创建账户实例的权限取决于您启用 IAM Identity Center 的时间:
+ **2023 年 11 月之前** – 您必须[允许在成员账户中创建账户实例](enable-account-instance-console.md),这是一个无法撤销的操作。
+ **2023 年 11 月 15 日之后** - 默认情况下,成员账户可以创建账户实例。
无论哪种情况,您都可以使用服务控制策略 (SCPs) 来:
+ 阻止所有成员账户创建账户实例。
+ 仅允许特定成员账户创建账户实例。
## 阻止账户实例
使用以下过程生成阻止成员账户创建 IAM Identity Center 账户实例的 SCP。
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 在**控制面板**的**中央管理**部分,选择**阻止账户实例**按钮。
1. 在**附加 SCP 以阻止创建新账户实例**对话框中,会为您提供一个 SCP。复制该 SCP,并选择**前往 SCP 控制面板**按钮。您将被引导到[AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)创建 SCP 或将其作为语句附加到现有 SCP。 SCPs 是一项功能 AWS Organizations。有关附加 SCP 的说明,请参阅 *AWS Organizations 用户指南*中的[附加和分离服务控制策略](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。
## 限制账户实例
该策略不会阻止所有账户实例的创建,而是拒绝任何为*""*占位符中明确列出的账户以 AWS 账户 外的所有账户创建 IAM Identity Center 账户实例的尝试。
**Example :用于限制账户实例创建的拒绝策略**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ 将 [*""*] 替换为您想要允许创建 IAM Identity Center 账户实例的实际 AWS 账户 ID。
+ 您可以按数组格式列出多个允许的账户 IDs :[*"111122223333", "444455556666"*]。
+ 将此策略附加到您的组织 SCP,以强制执行对 IAM Identity Center 账户实例创建的集中控制。
有关附加 SCP 的说明,请参阅 *AWS Organizations 用户指南*中的[附加和分离服务控制策略](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。
# 删除 IAM Identity Center 实例
删除 IAM Identity Center 实例后,该实例中的所有数据都将被删除且无法恢复。下表描述了根据在 IAM Identity Center 中配置的目录类型删除了哪些数据。
| 哪些数据会被删除 | 连接的目录- AWS Managed Microsoft AD、AD Connector 或外部身份提供商 | IAM Identity Center 身份存储 |
| --- | --- | --- |
| 您为其配置的所有权限集 AWS 账户 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| 您在 IAM Identity Center 中配置的所有应用程序 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| 您为其配置的所有用户分配 AWS 账户 和应用程序 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| 目录或存储中的所有用户和组 | 不适用 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/icon-yes.png) 是 |
如果您将 IAM Identity Center 实例复制到其他区域,则必须先移除这些区域,然后再删除该实例。
按照下列步骤删除 IAM Identity Center 实例。
**删除 IAM Identity Center 实例**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 在左侧导航窗格中,选择**设置**。
1. 在“**设置** ”页面上,选择“**管理**” 选项卡。
1. 在“**删除 IAM Identity Center 配置**”部分中,选择“**删除**”。
1. 在“**删除 IAM Identity Center 配置**”对话框中,选中每个复选框,以确认您知道自己的数据将被删除。在文本框中键入您的 IAM Identity Center 实例,然后选择“**确认**”。