本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 什麼是 IAM Identity Center?
AWS IAM Identity Center 是將您的人力資源使用者連線至 Kiro 和 Amazon Quick 等 AWS 受管應用程式和其他 AWS 資源 AWS 的解決方案。您可以連接現有的身分提供者,並從目錄同步使用者和群組,或直接在 IAM Identity Center 中建立和管理使用者。然後,您可以將 IAM Identity Center 用於下列其中一項或兩項:
+ 使用者存取應用程式
+ 使用者存取 AWS 帳戶
**已使用 IAM 存取 AWS 帳戶?**
您不需要對目前的 AWS 帳戶 工作流程進行任何變更,即可使用 IAM Identity Center 存取 AWS 受管應用程式。如果您使用[聯合身分搭配 IAM ](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam)進行 AWS 帳戶 存取,您的使用者可以繼續以他們一直擁有 AWS 帳戶 的相同方式存取 ,而且您可以繼續使用現有的工作流程來管理該存取。
## 為什麼要使用 IAM Identity Center?
IAM Identity Center 透過下列關鍵功能,簡化和簡化人力使用者對應用程式 AWS 帳戶或兩者的存取。
**與 AWS 受管應用程式整合**
[AWS 受管應用程式](awsapps.md),例如 Kiro,並與 IAM Identity Center Amazon Redshift 整合。IAM Identity Center 為 AWS 受管應用程式提供使用者和群組的共同檢視。
**跨應用程式的信任身分傳播 **
透過信任的身分傳播,Amazon Quick 等 AWS 受管應用程式可以安全地與其他 AWS 受管應用程式共用使用者的身分,例如 Amazon Redshift ,並根據使用者的身分授權存取 AWS 資源。您可以更輕鬆地稽核使用者活動,因為 CloudTrail 事件會根據使用者和使用者啟動的動作來記錄。這可讓您更輕鬆地了解誰存取了哪些內容。如需支援使用案例的資訊,包括end-to-end組態指引,請參閱 [信任的身分傳播使用案例](trustedidentitypropagation-integrations.md)。
**一個位置可指派許可給多個 AWS 帳戶**
透過多帳戶許可,IAM Identity Center 提供單一位置,讓您將許可指派給多個 中的使用者群組 AWS 帳戶。您可以根據常見的任務函數建立許可,或定義符合您安全需求的自訂許可。然後,您可以將這些許可指派給人力使用者,以控制他們對特定 的存取 AWS 帳戶。
此選用功能僅適用於 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)。
**可簡化使用者存取的聯合點 AWS**
透過提供一個聯合點,IAM Identity Center 可減少使用多個 AWS 受管應用程式和 所需的管理工作 AWS 帳戶。使用 IAM Identity Center 時,您只需要聯合一次,而且在使用[https://wiki.oasis-open.org/security](https://wiki.oasis-open.org/security)身分提供者時,您只需要管理一個憑證。IAM Identity Center 為 AWS 受管應用程式提供受信任身分傳播使用案例的使用者和群組的共同檢視,或在使用者與其他人共用資源存取權 AWS 時。
如需如何設定常用身分提供者以搭配 IAM Identity Center 使用的資訊,請參閱 [IAM Identity Center 身分來源教學課程](tutorials.md)。如果您沒有現有的身分提供者,您可以[直接在 IAM Identity Center 中建立和管理使用者](quick-start-default-idc.md)。
**兩種執行個體類型**
IAM Identity Center 支援兩種類型的執行個體:*組織執行個體*和*帳戶執行個體*。組織執行個體是最佳實務。這是唯一可讓您管理 存取權的執行個體 AWS 帳戶 ,建議用於應用程式的所有生產用途。組織執行個體會部署在 AWS Organizations 管理帳戶中,並為您提供管理使用者存取權的單一點 AWS。
帳戶執行個體繫結至啟用 AWS 帳戶 它們的 。僅使用 IAM Identity Center 的帳戶執行個體來支援特定 AWS 受管應用程式的隔離部署。如需詳細資訊,請參閱[IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。
**使用者易於存取的 Web 入口網站**
AWS 存取入口網站是一種易於使用的 Web 入口網站,可讓您的使用者無縫存取其所有指派的應用程式 AWS 帳戶,或同時存取兩者。
**對 AWS 帳戶 和應用程式的多區域存取**
當您將 IAM Identity Center 執行個體複寫到其他區域時,您的人力資源可以透過所有啟用的區域存取其指派 AWS 帳戶 和應用程式,並且可以在每個啟用的區域中部署 AWS 受管應用程式。
## IAM Identity Center 重新命名
在 2022 年 7 月 26 日, AWS Single Sign-On 已重新命名為 AWS IAM Identity Center。
### 舊版命名空間保持不變
為了回溯相容性, `sso`和 `identitystore` API 命名空間以及下列相關的命名空間**保持不變**。
+ CLI 命令
+ [https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html)
+ [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/index.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/index.html)
+ [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/index.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/index.html)
+ [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso-admin/index.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso-admin/index.html)
+ [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso-oidc/index.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso-oidc/index.html)
+ 包含 `AWSSSO`和 字`AWSIdentitySync`首的[受管政策](https://docs.aws.amazon.com//singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ 包含 `sso`和 [的服務端點](https://docs.aws.amazon.com//general/latest/gr/sso.html#sso_region) `identitystore`
+ 包含字首 `AWS::SSO` 的 [CloudFormation](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/AWS_SSO.html) 資源
+ 包含 [的服務連結角色](https://docs.aws.amazon.com//singlesignon/latest/userguide/using-service-linked-roles.html#slr-permissions) `AWSServiceRoleForSSO`
+ 包含 `sso`和 URLs `singlesignon`
+ 包含 `singlesignon` 的文件 URL