本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 透過 IAM Identity Center 開始使用
以下概述如何開始使用 IAM Identity Center。
1. **啟用 IAM Identity Center**
當您[啟用 IAM Identity Center](enable-identity-center.md) 時,您可以在兩種類型的 IAM Identity Center 執行個體之間進行選擇。這些類型包括:[*組織執行個體*](organization-instances-identity-center.md) (建議) 和[*帳戶執行個體*](account-instances-identity-center.md)。若要進一步了解這些執行個體類型的不同功能,請參閱 [IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。
**注意**
啟用 IAM Identity Center 後,您可以執行下列其中一項操作來登入和開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com//singlesignon/):
**組織執行個體** - 在管理帳戶中 AWS 使用具有管理許可的登入資料登入。
**帳戶執行個體** - 在啟用 IAM Identity Center AWS 帳戶 的 中使用具有管理許可的 AWS 登入資料登入。
1. **將您的身分來源連接至 IAM Identity Center**
在 IAM Identity Center 主控台中,確認您要使用的身分來源。如需身分來源,請參閱下列內容:
+ **外部身分提供者** - 如果您有現有的身分提供者來管理人力資源使用者,您可以將其連線至 IAM Identity Center。如需如何設定常用身分提供者以搭配 IAM Identity Center 使用的詳細資訊,請參閱 [IAM Identity Center 身分來源教學課程](tutorials.md)。
+ **Active Directory** - 如果您使用 Active Directory 來管理人力資源使用者,您可以將其連線至 IAM Identity Center。如需詳細資訊,請參閱[使用 Active Directory 做為身分來源](gs-ad.md)。
+ **IAM Identity Center** - 或者,您可以[直接在 IAM Identity Center 中建立和管理使用者和群組](quick-start-default-idc.md)。
**注意**
目前,您必須使用外部身分提供者做為身分來源,以利用 IAM Identity Center 的多區域設定。如需此設定優點的詳細資訊,請參閱 [跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。
1. **設定 的使用者存取權 AWS 帳戶 (僅限組織執行個體)**
如果您使用的是 IAM Identity Center 的組織執行個體,您可以使用[許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/permissionsetsconcept.html)授予使用者對 AWS 帳戶 和資源的存取權,將使用者[或群組存取權指派給 AWS 帳戶](https://docs.aws.amazon.com//singlesignon/latest/userguide/assignusers.html)。
1. **設定使用者存取應用程式**
使用 IAM Identity Center,您可以授予使用者存取兩種類型的應用程式:
1. **[AWS 受管應用程式](awsapps.md)**
+ 您可以搭配 Amazon Q Business AWS CLI和 Amazon Redshift 等 AWS 受管應用程式使用 IAM Identity Center。如需詳細資訊,請參閱[AWS 受管應用程式](awsapps.md)及[將 AWS CLI 與 IAM Identity Center 整合](integrating-aws-cli.md)。
1. **[客戶受管應用程式](customermanagedapps.md)**
+ 您可以將下列任一類型的客戶受管應用程式與 IAM Identity Center 整合:
+ [IAM Identity Center 目錄中列出的應用程式](saasapps.md)
+ [您的自訂應用程式](customermanagedapps-set-up-your-own-app-saml2.md)
+ 設定應用程式後,您可以將[存取權指派給使用者](assignuserstoapp.md)。
1. **為您的使用者提供 AWS 存取入口網站的登入指示**
AWS 存取入口網站是一種 Web 入口網站,可讓您的使用者無縫存取其所有指派的應用程式 AWS 帳戶,或同時存取兩者。IAM Identity Center 中的新使用者必須先啟用其使用者憑證,才能登入 AWS 存取入口網站。
如需有關如何登入 AWS 存取入口網站的資訊,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com//signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。若要了解 AWS 存取入口網站的登入程序,請參閱[登入 AWS 存取入口網站](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtosignin.html)。
# IAM Identity Center 先決條件和考量事項
您可以使用 IAM Identity Center 僅存取 AWS 受管應用程式、 AWS 帳戶 僅存取受管應用程式,或同時存取兩者。如果您使用 IAM 聯合來管理對 的存取 AWS 帳戶,則可以在使用 IAM Identity Center 進行應用程式存取時繼續這樣做。
啟用 IAM Identity Center 之前,請考慮下列事項:
+ AWS 區域
您必須先在 IAM Identity Center 每個執行個體的單一[支援](regions.md)區域中啟用 IAM Identity Center。如果您想要在存取 AWS 帳戶時使用 IAM Identity Center 進行單一登入,則該區域必須可供組織中的所有使用者存取。如果您計劃使用 IAM Identity Center 進行應用程式存取,請注意,某些 AWS 受管應用程式,例如 Amazon SageMaker AI,只能在其支援的區域中操作。此外,大多數 AWS 受管應用程式都需要在與應用程式相同的區域中使用 IAM Identity Center。這可以透過將它們在同一區域中聯合放置,或在支援時,將 IAM Identity Center 執行個體複寫到 AWS 受管應用程式的所需部署區域來實現。如需詳細資訊,請參閱[選擇 的考量事項 AWS 區域](identity-center-region-considerations.md)。
+ 僅限應用程式存取
您只能使用現有身分提供者,將 IAM Identity Center 用於使用者存取應用程式,例如 Kiro。如需詳細資訊,請參閱[使用 IAM Identity Center 僅供使用者存取應用程式](identity-center-for-apps-only.md)。
**注意**
應用程式資源的存取由應用程式擁有者獨立管理。
+ IAM 角色的配額
IAM Identity Center 會建立 IAM 角色,以授予使用者帳戶資源的許可。如需詳細資訊,請參閱[IAM Identity Center 建立的 IAM 角色](identity-center-and-iam-roles.md)。
+ IAM Identity Center 和 AWS Organizations
AWS Organizations 建議與 IAM Identity Center 搭配使用,但非必要。如果您尚未設定組織,則不需要。如果您已經設定 AWS Organizations 並將新增 IAM Identity Center 到您的組織,請確定所有 AWS Organizations 功能都已啟用。如需詳細資訊,請參閱[IAM Identity Center 和 AWS Organizations](identity-center-and-orgs.md)。
IAM Identity Center Web 介面,包括存取入口網站和 IAM Identity Center 主控台,旨在供人類透過支援的 Web 瀏覽器存取。相容瀏覽器包括 Microsoft Edge、Mozilla Firefox、Google Chrome 和 Apple Safari 的最新版本。不支援使用非瀏覽器型路徑存取這些端點。若要以程式設計方式存取 IAM Identity Center 服務,建議您使用 IAM Identity Center 和 Identity Store APIs 參考指南中提供的文件化 API。
# 選擇 的考量事項 AWS 區域
您可以在 AWS 區域 您選擇的單一支援中啟用 IAM Identity Center,並且可供全球使用者使用。此全域可用性可讓您更輕鬆地設定使用者存取多個 AWS 帳戶 和 應用程式。以下是選擇 的重要考量 AWS 區域。
+ **使用者的地理位置** – 當您選取地理位置最接近大多數最終使用者的 區域時,他們存取 AWS 存取入口網站和 AWS 受管應用程式的延遲會較低,例如 Amazon SageMaker AI。
+ **選擇加入區域 (預設為停用的區域)** – 選擇加入區域是預設為停用 AWS 區域 的 。若要使用選擇加入區域,您必須啟用該區域。如需詳細資訊,請參閱[在選擇加入區域中管理 IAM Identity Center](regions.md#manually-enabled-regions)。
+ **將 IAM Identity Center 複寫至其他區域** – 如果您計劃將 IAM Identity Center 複寫至其他區域 AWS 區域,您必須選擇預設啟用的區域。如需詳細資訊,請參閱[跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。
+ **選擇 AWS 受管應用程式的部署區域** – AWS 受管應用程式只能在可用的 AWS 區域 中操作。許多 AWS 受管應用程式也只能在啟用或複寫 IAM Identity Center 的區域中操作 (主要或其他區域)。若要確認您的 IAM Identity Center 執行個體是否支援複寫至其他區域,請參閱 [跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。如果複寫不是選項,請考慮在您計劃使用 AWS 受管應用程式的區域中啟用 IAM Identity Center。
+ **數位主權** – 數位主權法規或公司政策可能強制使用特定 AWS 區域。請洽詢您公司的法務部門。
+ **身分來源** – 如果您使用 [Active Directory (AD)](connectonpremad.md) 中的 [AWS Managed Microsoft AD](connectawsad.md)或自我管理目錄做為身分來源,其主區域必須符合您啟用 IAM Identity Center AWS 區域 的 。
+ **使用 Amazon Simple Email Service 的跨區域電子郵件** – 在某些區域中,IAM Identity Center 可能會呼叫不同區域中的 [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) 來傳送電子郵件。在這些跨區域呼叫中,IAM Identity Center 會將特定使用者屬性傳送至其他區域。如需詳細資訊,請參閱[使用 Amazon SES 的跨區域電子郵件](regions.md#cross-region-calls)。
+ **AWS Control Tower** – 如果您要從中啟用 IAM Identity Center 的組織執行個體 AWS Control Tower,執行個體將在 AWS Control Tower 與登陸區域相同的區域中建立。
**Topics**
+ [IAM Identity Center 區域資料儲存和操作](regions.md)
+ [切換 AWS 區域](switching-regions.md)
+ [停用已啟用 IAM Identity Center AWS 區域 的](disabling-region-with-identity-center.md)
# IAM Identity Center 區域資料儲存和操作
了解 IAM Identity Center 如何跨 處理資料儲存和操作 AWS 區域。
## 了解 IAM Identity Center 如何存放資料
當您啟用 IAM Identity Center 時,您在 IAM Identity Center 中設定的所有資料都會存放在您啟用它的區域中。此資料包含目錄組態、許可集、應用程式執行個體,以及 AWS 帳戶 應用程式的使用者指派。如果您使用的是 IAM Identity Center 身分存放區,您在 IAM Identity Center 中建立的所有使用者和群組也會儲存在相同的區域中。如果您將 IAM Identity Center 執行個體複寫至其他區域,IAM Identity Center 會自動將使用者、群組、許可集及其指派,以及其他中繼資料和組態複寫至這些區域。
## 使用 Amazon SES 的跨區域電子郵件
IAM Identity Center 使用 [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html),在使用者嘗試使用一次性密碼 (OTP) 作為第二個身分驗證因素登入時傳送電子郵件給最終使用者。這些電子郵件也會針對特定身分和憑證管理事件傳送,例如當使用者受邀設定初始密碼、驗證電子郵件地址,以及重設密碼時。Amazon SES 可在 IAM Identity Center AWS 區域 支援的子集中使用。
當 Amazon SES 在本機提供時,IAM Identity Center 會呼叫 Amazon SES 本機端點 AWS 區域。當 Amazon SES 無法在本機使用時,IAM Identity Center 會呼叫不同 中的 Amazon SES 端點 AWS 區域,如下表所示。
| IAM Identity Center 區域碼 | IAM Identity Center 區域名稱 | Amazon SES 區域碼 | Amazon SES 區域名稱 |
| --- | --- | --- | --- |
| ap-east-1 | 亞太地區 (香港) | ap-northeast-2 | 亞太地區 (首爾) |
| ap-east-2 | 亞太區域 (台北) | ap-northeast-1 | 亞太地區 (東京) |
| ap-south-2 | 亞太地區 (海德拉巴) | ap-south-1 | 亞太地區 (孟買) |
| ap-southeast-4 | 亞太地區 (墨爾本) | ap-southeast-2 | 亞太地區 (悉尼) |
| ap-southeast-5 | 亞太地區 (馬來西亞) | ap-southeast-1 | 亞太地區 (新加坡) |
| ap-southeast-6 | 亞太區域 (紐西蘭) | ap-southeast-2 | 亞太地區 (悉尼) |
| ap-southeast-7 | 亞太區域 (泰國) | ap-northeast-3 | 亞太地區 (大阪) |
| ca-west-1 | 加拿大西部 (卡加利) | ca-central-1 | 加拿大 (中部) |
| eu-south-2 | 歐洲 (西班牙) | eu-west-3 | Europe (Paris) |
| eu-central-2 | 歐洲 (蘇黎世) | eu-central-1 | 歐洲 (法蘭克福) |
| mx-central-1 | 墨西哥 (中部) | us-east-2 | 美國東部 (俄亥俄) |
| me-central-1 | 中東 (阿拉伯聯合大公國) | eu-central-1 | 歐洲 (法蘭克福) |
| us-gov-east-1 | AWS GovCloud (美國東部) | us-gov-west-1 | AWS GovCloud (美國西部) |
在這些跨區域呼叫中,IAM Identity Center 可能會傳送下列使用者屬性:
+ 電子郵件地址
+ 名字
+ 姓氏
+ 中的帳戶 AWS Organizations
+ AWS 存取入口網站 URL
+ 使用者名稱
+ 目錄 ID
+ 使用者 ID
## 在選擇加入區域中管理 IAM Identity Center (預設為停用的區域)
根據預設,大多數 AWS 區域 都已啟用所有 AWS 服務中的操作,但如果您想要使用 IAM Identity Center,則必須啟用下列[選擇加入區域](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion):
+ 非洲 (開普敦)
+ 亞太地區 (香港)
+ 亞太區域 (台北)
+ 亞太地區 (海德拉巴)
+ 亞太地區 (雅加達)
+ 亞太地區 (墨爾本)
+ 亞太區域 (馬來西亞)
+ 亞太區域 (紐西蘭)
+ 亞太區域 (泰國)
+ 加拿大西部 (卡加利)
+ 歐洲 (米蘭)
+ 歐洲 (西班牙)
+ 歐洲 (蘇黎世)
+ 以色列 (特拉維夫)
+ 墨西哥 (中部)
+ Middle East (Bahrain)
+ 中東 (阿拉伯聯合大公國)
如果您在選擇加入區域部署 IAM Identity Center,則必須在您要管理 IAM Identity Center 存取權的所有帳戶中啟用此區域。無論您是否要在該區域中建立資源,所有帳戶都需要此組態。您可以為組織中的目前帳戶啟用區域,您必須在新增帳戶時重複此動作。如需說明,請參閱*AWS Organizations 《 使用者指南*》中的[啟用或停用組織中的區域](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization)。若要避免重複這些額外步驟,您可以選擇在[預設啟用的區域中](#regions-enabled-by-default)部署 IAM Identity Center。
**注意**
您的 AWS 成員帳戶必須選擇加入與您的 IAM Identity Center 執行個體所在選擇加入區域相同的區域,以便您可以從存取入口網站 AWS 存取 AWS 成員帳戶。
**儲存在選擇加入區域中的中繼資料**
當您為選擇加入的管理帳戶啟用 IAM Identity Center 時 AWS 區域,任何成員帳戶的下列 IAM Identity Center 中繼資料都會存放在 區域中。
+ 帳戶 ID
+ 帳戶名稱
+ 帳戶電子郵件
+ IAM Identity Center 在成員帳戶中建立的 IAM 角色的 Amazon Resource Name ARNs)
## AWS 區域 預設為啟用
下列區域預設為啟用,您可以在這些區域中啟用 IAM Identity Center。
+ 美國東部 (俄亥俄)
+ 美國東部 (維吉尼亞北部)
+ 美國西部 (奧勒岡)
+ 美國西部 (加利佛尼亞北部)
+ Europe (Paris)
+ 南美洲 (聖保羅)
+ 亞太地區 (孟買)
+ 歐洲 (斯德哥爾摩)
+ 亞太地區 (首爾)
+ 亞太地區 (東京)
+ 歐洲 (愛爾蘭)
+ 歐洲 (法蘭克福)
+ 歐洲 (倫敦)
+ 亞太地區 (新加坡)
+ 亞太地區 (雪梨)
+ 加拿大 (中部)
+ 亞太地區 (大阪)
# 切換 AWS 區域
建議您將 IAM Identity Center 安裝在您想要讓使用者保持可用的區域中,而不是您可能需要停用的區域。如需詳細資訊,請參閱[選擇 的考量事項 AWS 區域](identity-center-region-considerations.md)。
您只能透過[刪除目前的 IAM Identity Center 執行個體,並在另一個區域中建立執行個體來切換 IAM Identity Center](delete-config.md) 區域。如果您已使用現有的 IAM Identity Center 執行個體啟用 AWS 受管應用程式,請在刪除 IAM Identity Center 之前停用應用程式。如需停用 AWS 受管應用程式的指示,請參閱 [停用 AWS 受管應用程式](awsapps-remove.md)。
**注意**
如果您正在考慮切換 IAM Identity Center 區域,以在另一個區域中啟用 AWS 受管應用程式的部署,請考慮改為將 IAM Identity Center 執行個體複寫至該區域。如需詳細資訊,請參閱[跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。
**新區域中的組態考量事項**
您必須在新的 IAM Identity Center 執行個體中重新建立使用者、群組、許可集、應用程式和指派。您可以使用 IAM Identity Center 帳戶和應用程式指派 [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) 來取得組態的快照,然後使用該快照在新區域中重建組態。切換到不同的區域也會變更[AWS 存取入口網站](using-the-portal.md)的 URL,這可讓您的使用者透過單一登入存取其 AWS 帳戶 和 應用程式。您可能還需要透過新執行個體的管理主控台重新建立一些 IAM Identity Center 組態。
# 停用已啟用 IAM Identity Center AWS 區域 的
如果您停用已安裝 IAM Identity Center AWS 區域 的 ,IAM Identity Center 也會停用。在 區域中停用 IAM Identity Center 之後,該區域中的使用者將無法單一登入存取 AWS 帳戶 和 應用程式。
若要在[選擇加入 AWS 區域](regions.md#manually-enabled-regions)中重新啟用 IAM Identity Center,您必須重新啟用區域。由於 IAM Identity Center 必須重新處理所有暫停的事件,重新啟用 IAM Identity Center 可能需要一些時間。
**注意**
IAM Identity Center 只能管理 AWS 帳戶 在 中啟用的 存取權 AWS 區域。若要管理組織中所有帳戶的存取權,請在 中的管理帳戶中啟用 IAM Identity Center AWS 區域 ,該帳戶會自動啟用以與 IAM Identity Center 搭配使用。
如需啟用和停用的詳細資訊 AWS 區域,請參閱《 *AWS 一般參考*》中的[管理 AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)。
# 使用 IAM Identity Center 僅供使用者存取應用程式
您可以使用 IAM Identity Center 來使用者存取應用程式,例如 Kiro AWS 帳戶或兩者。您可以連接現有的身分提供者,並從目錄同步使用者和群組,或[直接在 IAM Identity Center 中建立和管理使用者](quick-start-default-idc.md)。如需如何將現有身分提供者連線至 IAM Identity Center 的資訊,請參閱 [IAM Identity Center 身分來源教學課程](tutorials.md)。
**已使用 IAM 存取 AWS 帳戶?**
您不需要對目前的 AWS 帳戶 工作流程進行任何變更,即可使用 IAM Identity Center 存取 AWS 受管應用程式。如果您使用[聯合身分搭配 IAM ](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam)進行 AWS 帳戶 存取,您的使用者可以繼續以他們一直擁有 AWS 帳戶 的相同方式存取 ,而且您可以繼續使用現有的工作流程來管理該存取。
# IAM Identity Center 建立的 IAM 角色
當您將使用者指派給 AWS 帳戶時,IAM Identity Center 會建立 IAM 角色,以授予使用者 資源的許可。
當您指派許可集時,IAM Identity Center 會在每個帳戶中建立對應的 IAM Identity Center 控制 IAM 角色,並將許可集中指定的政策連接到這些角色。IAM Identity Center 會管理角色,並允許您定義的授權使用者使用 AWS 存取入口網站 或 擔任角色 AWS CLI。當您修改許可集時,IAM Identity Center 會確保相應地更新對應的 IAM 政策和角色。將 IAM Identity Center 執行個體複寫至其他區域不會影響現有的 IAM 角色,也不會建立新的 IAM 角色。
**注意**
許可集不會用來授予應用程式許可。
如果您已在 中設定 IAM 角色 AWS 帳戶,建議您檢查您的帳戶是否接近 IAM 角色的配額。每個帳戶 IAM 角色的預設配額為 1000 個角色。如需詳細資訊,請參閱 [IAM 物件配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)。
如果您接近配額,請考慮請求增加配額。否則,當您將許可集佈建至超過 IAM 角色配額的帳戶時,可能會遇到 IAM Identity Center 的問題。如需如何請求提高配額的詳細資訊,請參閱《*Service Quotas 使用者指南*》中的[請求提高配額](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)。
**注意**
如果您在已使用 IAM Identity Center 的帳戶中檢閱 IAM 角色,您可能會注意到以 開頭的角色名稱“AWSReservedSSO\$1”。這些是 IAM Identity Center 服務在帳戶中建立的角色,它們來自將許可集指派給帳戶。
# IAM Identity Center 和 AWS Organizations
AWS Organizations 建議與 IAM Identity Center 搭配使用,但非必要。如果您尚未設定組織,則不需要。當您啟用 IAM Identity Center 時,您可以選擇是否要使用 啟用服務 AWS Organizations。當您設定組織時, AWS 帳戶 設定組織的 會成為組織的管理帳戶。的根使用者現在 AWS 帳戶 是組織管理帳戶的擁有者。 AWS 帳戶 您邀請加入組織的任何其他 都是成員帳戶。管理帳戶會建立管理成員帳戶的組織資源、組織單位和政策。管理帳戶會將許可委派給成員帳戶。
**注意**
我們建議您使用 啟用 IAM Identity Center AWS Organizations,這會建立 IAM Identity Center 的組織執行個體。我們建議使用組織執行個體的最佳實務,因為它支援 IAM Identity Center 的所有功能,並提供集中管理功能。如需詳細資訊,請參閱[IAM Identity Center 的組織執行個體](organization-instances-identity-center.md)。
如果您已經設定 AWS Organizations 並將新增 IAM Identity Center 到您的組織,請確定所有 AWS Organizations 功能都已啟用。當您建立組織時,根據預設會啟用所有功能。如需詳細資訊,請參閱 *AWS Organizations 使用者指南*中的[啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
若要啟用 IAM Identity Center 的組織執行個體,您必須 AWS 管理主控台 以具有管理登入資料的使用者或根使用者身分登入您的 AWS Organizations 管理帳戶 (除非沒有其他管理使用者,否則不建議使用) 來登入 。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[建立和管理 AWS 組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)。
使用 AWS Organizations 成員帳戶的管理登入資料登入時,您可以啟用 IAM Identity Center 的帳戶執行個體。帳戶執行個體的功能有限,且繫結至單一 AWS 帳戶。
# IAM Identity Center 的組織和帳戶執行個體
執行個體是 IAM Identity Center 的單一部署。IAM Identity Center 有兩種類型的執行個體:*組織執行個體*和*帳戶執行個體*。
+ 組織執行個體 (建議)
您在 AWS Organizations 管理帳戶中啟用的 IAM Identity Center 執行個體。組織執行個體支援 IAM Identity Center 的所有功能。我們建議您部署組織執行個體,而不是帳戶執行個體,以將管理點的數量降至最低。
+ 帳戶執行個體
繫結至單一 的 IAM Identity Center 執行個體 AWS 帳戶,且僅在啟用該身分中心的 AWS 帳戶 和 AWS 區域中可見。針對更簡單的單一帳戶案例使用帳戶執行個體。您可以從下列其中一項啟用帳戶執行個體:
+ 不是由 管理 AWS 帳戶 的 AWS Organizations
+ 中的成員帳戶 AWS Organizations
## AWS 帳戶 可啟用 IAM Identity Center 的類型
若要啟用 IAM Identity Center,請根據您要建立的執行個體類型, AWS 管理主控台 使用下列其中一個登入資料登入 :
+ **您的 AWS Organizations 管理帳戶 (建議)** – 建立 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)時需要。將組織執行個體用於整個組織的多帳戶許可和應用程式指派。
+ **您的 AWS Organizations 成員帳戶** – 用來建立 IAM Identity Center [的帳戶執行個體](account-instances-identity-center.md),以在該成員帳戶中啟用應用程式指派。組織中可以存在具有成員層級執行個體的一或多個帳戶。
+ **獨立 AWS 帳戶** – 用來建立 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)或[帳戶執行個體](account-instances-identity-center.md)。獨立 AWS 帳戶 不是由 管理 AWS Organizations。您只能將 IAM Identity Center 的一個執行個體與獨立建立關聯, AWS 帳戶 並使用該執行個體在該獨立內進行應用程式指派 AWS 帳戶。
使用下表來比較執行個體類型所提供的功能:
| 功能 | AWS Organizations 管理帳戶中的執行個體 (建議) | 成員帳戶中的執行個體 | 獨立 中的執行個體 AWS 帳戶 |
| --- | --- | --- | --- |
| 管理使用者 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| AWS 存取受管 AWS 應用程式的單一登入存取入口網站 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| OAuth 2.0 (OIDC) 客戶受管應用程式 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png)是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png)是 |
| 多帳戶許可 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 |
| AWS 存取 時單一登入的存取入口網站 AWS 帳戶 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 |
| SAML 2.0 客戶受管應用程式 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 |
| 委派管理員可以管理執行個體 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 |
| 使用客戶管理的 KMS 金鑰進行靜態加密 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 |
| 將 IAM Identity Center 複寫至其他區域 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 |
如需 AWS 受管應用程式和 IAM Identity Center 的詳細資訊,請參閱 [AWS 可與 IAM Identity Center 搭配使用的 受管應用程式](awsapps-that-work-with-identity-center.md)。
**Topics**
+ [AWS 帳戶 可啟用 IAM Identity Center 的類型](#identity-center-instances-account-types)
+ [IAM Identity Center 的組織執行個體](organization-instances-identity-center.md)
+ [IAM Identity Center 的帳戶執行個體。](account-instances-identity-center.md)
+ [刪除您的 IAM Identity Center 執行個體](delete-config.md)
# IAM Identity Center 的組織執行個體
搭配 啟用 IAM Identity Center 時 AWS Organizations,您要建立 IAM Identity Center 的組織執行個體。您必須在管理帳戶中啟用組織執行個體,之後即可透過單一組織執行個體集中管理使用者與群組的存取權限。每個管理帳戶只能有一個組織執行個體 AWS Organizations。
如果您在 2023 年 11 月 15 日之前啟用 IAM Identity Center,則您有一個 IAM Identity Center 的組織執行個體。
若要啟用 IAM Identity Center 的組織執行個體,請參閱 [啟用 IAM Identity Center 的執行個體](enable-identity-center.md#to-enable-identity-center-instance)。
## 何時使用組織執行個體
組織執行個體是啟用 IAM Identity Center 的主要方法,通常建議使用組織執行個體。組織執行個體提供下列優點:
+ **支援 IAM Identity Center 的所有功能** – 包括管理 AWS 帳戶 組織中多個 的許可、指派客戶受管應用程式的存取權,以及多區域複寫。
+ **減少管理點的數量** – 組織執行個體具有單一管理點,即管理帳戶。我們建議您啟用組織執行個體,而不是帳戶執行個體,以減少管理點的數量。
+ **建立帳戶執行個體的集中控制** – 只要您尚未將 IAM Identity Center 執行個體部署到選擇加入區域 (預設為停用)AWS 區域 中的組織,就可以控制您組織中的成員帳戶是否可以建立帳戶執行個體。
如需啟用 IAM Identity Center 組織執行個體的說明,請參閱 [啟用 IAM Identity Center 的執行個體](enable-identity-center.md#to-enable-identity-center-instance)。
# IAM Identity Center 的帳戶執行個體。
透過 IAM Identity Center 的帳戶執行個體,您可以部署支援的 AWS 受管應用程式和以 OIDC 為基礎的客戶受管應用程式。帳戶執行個體支援在單一 中隔離部署應用程式 AWS 帳戶,利用 IAM Identity Center 人力資源身分和存取入口網站功能。
帳戶執行個體繫結至單一 AWS 帳戶 ,且僅用於管理相同帳戶和 中受支援應用程式的使用者和群組存取權 AWS 區域。每個 限制一個帳戶執行個體 AWS 帳戶。您可以從下列其中一項建立帳戶執行個體: 中的成員帳戶 AWS Organizations 或非 AWS 帳戶 管理的獨立帳戶 AWS Organizations。
如需啟用 IAM Identity Center 帳戶執行個體的說明,請參閱[啟用 IAM Identity Center 的執行個體](enable-identity-center.md#to-enable-identity-center-instance)並選擇**帳戶**索引標籤。
## 何時使用 帳戶執行個體
在大多數情況下,建議使用[組織執行個體](organization-instances-identity-center.md)。只有在下列其中一個案例適用時,才使用帳戶執行個體:
+ 您想要執行受支援 AWS 受管應用程式的暫時試用,以判斷應用程式是否符合您的業務需求。
+ 您沒有計劃在整個組織中採用 IAM Identity Center,但您想要支援一或多個 AWS 受管應用程式。
+ 您有 IAM Identity Center 的組織執行個體,但您想要將支援的 AWS 受管應用程式部署到與組織執行個體中使用者不同的隔離使用者集。
+ 您無法控制營運所在的 AWS 組織。例如,第三方會控制管理您 AWS 的組織 AWS 帳戶。
**重要**
如果您計劃使用 IAM Identity Center 支援多個帳戶中的應用程式,請使用組織執行個體。帳戶執行個體不支援此使用案例。
## AWS 支援帳戶執行個體的 受管應用程式
請參閱 [AWS 可與 IAM Identity Center 搭配使用的 受管應用程式](awsapps-that-work-with-identity-center.md) 以了解哪些 AWS 受管應用程式支援 IAM Identity Center 的帳戶執行個體。使用 AWS 受管應用程式驗證帳戶執行個體建立的可用性。
## 成員帳戶的可用性限制
若要在 AWS Organizations 成員帳戶中部署 IAM Identity Center 的帳戶執行個體,下列其中一個條件必須為 true:
+ 您的組織中沒有 IAM Identity Center 的組織執行個體。
+ 您的組織中有 IAM Identity Center 的組織執行個體,且執行個體管理員允許建立 IAM Identity Center 的帳戶執行個體 (適用於 2023 年 11 月 15 日之後建立的組織執行個體)。
+ 您的組織中有 IAM Identity Center 的組織執行個體,而執行個體管理員則由組織中的成員帳戶手動啟用帳戶執行個體的建立 (適用於 2023 年 11 月 15 日之前建立的組織執行個體)。如需說明,請參閱[允許在成員帳戶中建立帳戶執行個體](enable-account-instance-console.md)。
符合上述其中一個條件後,下列所有條件都必須為 true:
+ 您的管理員尚未建立[服務控制政策](control-account-instance.md),以防止成員帳戶建立帳戶執行個體。
+ 無論 為何,您在此相同帳戶中還沒有 IAM Identity Center 的執行個體 AWS 區域。
+ 您正在可使用 IAM Identity Center AWS 區域 的 中工作。如需 區域的詳細資訊,請參閱 [IAM Identity Center 區域資料儲存和操作](regions.md)。
## 帳戶執行個體考量事項
帳戶執行個體是專為特殊使用案例所設計,並提供組織執行個體可用的功能子集。在建立帳戶執行個體之前,請考慮下列事項:
+ 帳戶執行個體不支援許可集,因此不支援 的存取 AWS 帳戶。
+ 您無法將帳戶執行個體轉換或合併至組織執行個體。
+ 僅選取[AWS 受管應用程式](awsapps-that-work-with-identity-center.md)支援帳戶執行個體。
+ 將帳戶執行個體用於隔離的使用者,這些使用者只會在單一帳戶中使用應用程式,並在使用的應用程式的生命週期內使用。
+ 連接到帳戶執行個體的應用程式必須保持連接到帳戶執行個體,直到您刪除應用程式及其資源為止。
+ 帳戶執行個體必須保留在建立該執行個體 AWS 帳戶 的 中。
# 允許在成員帳戶中建立帳戶執行個體
如果您在 2023 年 11 月 15 日之前啟用 IAM Identity Center,您有一個 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md),可讓成員帳戶建立預設停用的帳戶執行個體。您可以在 IAM Identity Center 主控台中啟用帳戶執行個體功能,以選擇您的成員帳戶是否可以建立帳戶執行個體。
**啟用由組織中成員帳戶建立帳戶執行個體**
**重要**
為成員帳戶啟用 IAM Identity Center 的帳戶執行個體是一次性操作。這表示此操作無法反轉。啟用後,您可以透過建立服務控制政策 (SCP) 來限制帳戶執行個體的建立。如需說明,請參閱[使用服務控制政策來控制帳戶執行個體的建立](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html)。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**,然後選擇**管理**索引標籤。
1. 在 **IAM Identity Center 的帳戶執行個體**區段中,選擇**啟用 IAM Identity Center 的帳戶執行個體**。
1. 在**啟用 IAM Identity Center 帳戶執行個體**對話方塊中,選擇**啟用**,確認您想要允許組織中的成員帳戶建立帳戶執行個體。
# 使用服務控制政策來控制帳戶執行個體的建立
成員帳戶建立帳戶執行個體的能力取決於您何時啟用 IAM Identity Center:
+ **2023 年 11 月之前** – 您必須[允許在成員帳戶中建立帳戶執行個體](enable-account-instance-console.md),這是無法反轉的動作。
+ **2023 年 11 月 15 日之後 – 根據預設,**成員帳戶可以建立帳戶執行個體。
在任何一種情況下,您都可以使用服務控制政策 SCPs) 來:
+ 防止所有成員帳戶建立帳戶執行個體。
+ 僅允許特定成員帳戶建立帳戶執行個體。
## 防止帳戶執行個體
使用下列程序產生 SCP,以防止成員帳戶建立 IAM Identity Center 的帳戶執行個體。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在**儀表板**的**中央管理**區段中,選擇**防止帳戶執行個體**按鈕。
1. 在**連接 SCP 以防止建立新帳戶執行個體**對話方塊中,會為您提供 SCP。複製 SCP 並選擇**前往 SCP 儀表板**按鈕。系統會將您導向至 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)來建立 SCP,或將其做為陳述式連接到現有的 SCP。SCPs是 的一項功能 AWS Organizations。如需連接 SCP 的說明,請參閱《 使用者指南》中的[連接和分離服務控制政策](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。 *AWS Organizations *
## 限制帳戶執行個體
除*「」*預留位置中明確列出的帳戶執行個體 AWS 帳戶 外,此政策不會阻止建立所有帳戶執行個體,而是拒絕嘗試為所有帳戶建立 IAM Identity Center 的帳戶執行個體。
**Example :拒絕政策以限制帳戶執行個體建立**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ 將 【*「」*) 取代為您想要允許 建立 IAM Identity Center 帳戶執行個體的實際 AWS 帳戶 ID。
+ 您可以列出陣列格式的多個允許帳戶 IDs:【*"111122223333"、"444455556666"*】。
+ 將此政策連接至您的組織 SCP,以強制執行對 IAM Identity Center 帳戶執行個體建立的集中控制。
如需連接 SCP 的指示,請參閱《 使用者指南》中的[連接和分離服務控制政策](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。 *AWS Organizations *
# 刪除您的 IAM Identity Center 執行個體
刪除 IAM Identity Center 執行個體時,會刪除該執行個體中的所有資料,且無法復原。下表說明根據在 IAM Identity Center 中設定的目錄類型刪除哪些資料。
| 刪除哪些資料 | 連線目錄 -、 AWS Managed Microsoft AD AD Connector 或外部身分提供者 | IAM Identity Center 身分存放區 |
| --- | --- | --- |
| 您已為 設定的所有許可集 AWS 帳戶 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| 您在 IAM Identity Center 中設定的所有應用程式 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| 您已為 AWS 帳戶 和 應用程式設定的所有使用者指派 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| 目錄或存放區中的所有使用者和群組 | 無 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 |
如果您將 IAM Identity Center 執行個體複寫到其他區域,您必須先移除這些區域,才能刪除執行個體。
使用下列程序刪除您的 IAM Identity Center 執行個體。
**刪除您的 IAM Identity Center 執行個體**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在**設定**頁面上,選擇**管理**索引標籤。
1. 在**刪除 IAM Identity Center 組態**區段中,選擇**刪除**。
1. 在**刪除 IAM Identity Center 組態**對話方塊中,選取每個核取方塊以確認您了解您的資料將被刪除。在文字方塊中輸入 IAM Identity Center 執行個體,然後選擇**確認**。