本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 啟用 IAM Identity Center
當您啟用 IAM Identity Center 時,您可以選擇要啟用的 AWS IAM Identity Center 執行個體類型。服務執行個體是您 AWS 環境中服務的單一部署。IAM Identity Center 有兩種類型的執行個體:組織執行個體和帳戶執行個體。您可以啟用的執行個體類型取決於您登入的帳戶類型。
下列清單識別您可以為每種類型啟用的 IAM Identity Center 執行個體類型 AWS 帳戶:
+ **您的 AWS Organizations 管理帳戶 (建議)** – 建立 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)時需要。將組織執行個體用於整個組織的多帳戶許可和應用程式指派。您可以將此執行個體類型複寫至其他 區域,以在選擇 AWS 應用程式部署區域時增強帳戶存取和彈性的彈性。
+ **您的 AWS Organizations 成員帳戶** – 用來建立 IAM Identity Center [的帳戶執行個體](account-instances-identity-center.md),以在該成員帳戶中啟用應用程式指派。組織中可以存在一或多個具有成員層級執行個體的帳戶。
+ **獨立 – AWS 帳戶**用來建立 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)或[帳戶執行個體](account-instances-identity-center.md)。獨立 AWS 帳戶 不是由 管理 AWS Organizations。您只能將 IAM Identity Center 的一個執行個體與獨立建立關聯, AWS 帳戶 並使用該執行個體在該獨立內進行應用程式指派 AWS 帳戶。
**重要**
組織管理帳戶可以使用服務控制政策,控制[組織成員帳戶是否可以建立 IAM Identity Center 的帳戶執行個體](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html)。
如果您使用免費方案帳戶,建立 AWS 組織會自動將您的帳戶升級至付費計劃,並pay-as-you-go計費。您的免費方案點數會立即過期。如需詳細資訊,請參閱 [AWS 免費方案FAQs](https://aws.amazon.com/free/free-tier-faqs/)。
如需不同執行個體類型所提供不同功能的比較,請參閱 [IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。
啟用 IAM Identity Center 之前,建議您檢閱 [IAM Identity Center 先決條件和考量事項](identity-center-prerequisites.md)。
## 啟用 IAM Identity Center 的執行個體
選擇您要啟用之 IAM Identity Center 執行個體類型的索引標籤,無論是組織或帳戶執行個體:
------
#### [ Organization (recommended) ]
1. 執行下列其中一項操作來登入 AWS 管理主控台。
+ **新使用者 AWS (根使用者)** – 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者的身分登入。在下一頁中,輸入您的密碼。
+ **已使用 AWS 搭配獨立 AWS 帳戶 (IAM 憑證)** – 使用您的 IAM 憑證搭配管理許可來登入。
+ **已使用 AWS Organizations (IAM 登入資料)** – 使用您的管理帳戶登入資料登入。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. (選用) 如果您想要使用客戶受管 KMS 金鑰進行靜態加密,而不是使用預設 AWS 的受管金鑰,請在金鑰區段中設定客戶受管**金鑰,以加密靜態 IAM Identity Center 資料**。如需詳細資訊,請參閱 [在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。
**重要**
只有在您已設定使用 KMS 客戶受管金鑰的必要許可時,才執行此步驟。如果沒有適當的許可,此步驟可能會失敗或中斷 IAM Identity Center 管理和 AWS 受管應用程式。
1. 在**啟用 IAM Identity Center** 下,選擇**啟用**。
1. 在**使用 啟用 IAM Identity Center AWS Organizations** 頁面上,檢閱資訊,然後選取**啟用**以完成程序。
**注意**
AWS Organizations 只能在單一區域中啟用 IAM Identity Center AWS 。啟用 IAM Identity Center 之後,如果您需要在其中變更啟用 IAM Identity Center 的區域,則必須[刪除](delete-config.md)目前的執行個體,並在其他區域中建立執行個體。
啟用組織執行個體之後,建議您執行下列步驟以完成環境設定:
+ 確認您使用的是您選擇的身分來源。如果您已有指派的身分來源,您可以繼續使用。如需詳細資訊,請參閱[在 IAM Identity Center 中確認您的身分來源](confirm-identity-source.md)。
+ 將成員帳戶註冊為委派管理員。如需詳細資訊,請參閱[委派的管理](delegated-admin.md)。
+ IAM Identity Center 為您提供 AWS 資源的存取入口網站。如果您使用新一代防火牆 (NGFW) 或安全 Web Gateway (SWG) 等 Web 內容篩選解決方案來篩選特定 AWS 網域或 URL 端點的存取,請參閱 [更新防火牆和閘道以允許存取 AWS 存取入口網站](enable-identity-center-portal-access.md)。
------
#### [ Account ]
1. 執行下列其中一項操作來登入 AWS 管理主控台。
+ **新使用者 AWS (根使用者)** – 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者的身分登入。在下一頁中,輸入您的密碼。
+ **已使用 AWS (IAM 登入資料)** – 使用具有管理許可的 IAM 登入資料登入。
+ **已使用 AWS Organizations (IAM 登入資料)** – 使用您的成員帳戶管理登入資料登入。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 如果您是初次使用 AWS 或具有獨立 AWS 帳戶,請在**啟用 IAM Identity Center **下,選擇**啟用**。
您會看到**使用 啟用 IAM Identity Center AWS Organizations** 頁面。我們建議使用此選項,但並非必要。
選取連結**以啟用 IAM Identity Center 的帳戶執行個體**。
1. 如果您是 AWS Organizations 成員帳戶的管理員,請在**啟用 IAM Identity Center 的帳戶執行個體**下,選取**啟用帳戶執行個體**。
1. 在**啟用 IAM Identity Center 帳戶執行個體**頁面上,檢閱資訊並*選擇性地*新增要與此帳戶執行個體建立關聯的標籤。然後選取**啟用**以完成程序。
**注意**
如果 AWS 您的帳戶是組織的成員,則您啟用 IAM Identity Center 帳戶執行個體的能力可能會有限制。
如果您的組織在 2023 年 11 月 15 日之前啟用 IAM Identity Center,成員帳戶建立帳戶執行個體的功能預設為停用,且必須由組織的管理帳戶啟用。
如果您的組織在 2023 年 11 月 15 日之後啟用 IAM Identity Center,則預設會啟用成員帳戶建立帳戶執行個體的功能。不過,服務控制政策可用來防止在組織內建立 IAM Identity Center 的帳戶執行個體。
如需詳細資訊,請參閱[允許在成員帳戶中建立帳戶執行個體](enable-account-instance-console.md)及[使用服務控制政策來控制帳戶執行個體的建立](control-account-instance.md)。
------