Arbeiten mit AWS IAM Identity Center und AWS Control Tower - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit AWS IAM Identity Center und AWS Control Tower

In AWS Control Tower ermöglicht IAM Identity Center zentralen Cloud-Administratoren und Endbenutzern die Verwaltung des Zugriffs auf mehrere AWS Konten und Geschäftsanwendungen. Standardmäßig verwendet AWS Control Tower diesen Service, um den Zugriff auf die über Account Factory erstellten Konten einzurichten und zu verwalten, es sei denn, Sie haben die Option zur Selbstverwaltung Ihrer Identität und Zugriffskontrolle ausgewählt.

Weitere Informationen zur Auswahl eines Identitätsanbieters finden Sie unter IAMAnleitung zum Identity Center.

Ein kurzes Tutorial zur Einrichtung Ihrer IAM Identity Center-Benutzer und -Berechtigungen in AWS Control Tower finden Sie in diesem Video (6:23). Wählen Sie zur besseren Ansicht das Symbol in der rechten unteren Ecke des Videos, um es in voller Bildschirmgröße anzuzeigen. Es stehen Untertitel zur Verfügung.

Informationen zum Einrichten von AWS Control Tower mit IAM Identity Center

Wenn Sie AWS Control Tower zum ersten Mal einrichten, können nur der Root-Benutzer und alle IAM-Benutzer mit den richtigen Berechtigungen IAM-Identity-Center-Benutzer hinzufügen. Nachdem Endbenutzer jedoch der AWSAccountFactory Gruppe hinzugefügt wurden, können sie neue IAM-Identity-Center-Benutzer über den Account-Factory-Assistenten erstellen. Weitere Informationen finden Sie unter Konten mit Account Factory bereitstellen und verwalten.

Wenn Sie die empfohlene Standardeinstellung wählen, richtet AWS Control Tower Ihre Landing Zone mit einem vorkonfigurierten Verzeichnis ein, das Sie bei der Verwaltung von Benutzeridentitäten und Single Sign-On unterstützt, sodass Ihre Benutzer kontenübergreifenden Verbundzugriff haben. Wenn Sie Ihre Landing Zone einrichten, wird dieses Standardverzeichnis so erstellt, dass es Benutzergruppen und Berechtigungssätze enthält.

Anmerkung

Sie können die Verwaltung von AWS IAM Identity Center in Ihrer Organisation an ein anderes Konto als das Verwaltungskonto delegieren, indem Sie die delegierte Administratorfunktion von IAM Identity Center verwenden. Wenn Sie sich für diese Funktion entscheiden, beachten Sie, dass Administratoren mit Zugriff auf die Verwaltung der Gruppenmitgliedschaft auch Gruppen verwalten können, die dem Verwaltungskonto zugewiesen sind. Weitere Informationen finden Sie in diesem Blogbeitrag mit dem Titel Erste Schritte mit der delegierten AWS SSO-Verwaltung.

Wissenswertes über IAM Identity Center-Konten und AWS Control Tower

Hier sind einige gute Dinge, die Sie bei der Arbeit mit IAM Identity Center-Benutzerkonten in AWS Control Tower beachten sollten.

  • Wenn Ihr AWS IAM-Identity-Center-Benutzerkonto deaktiviert ist, erhalten Sie eine Fehlermeldung, wenn Sie versuchen, neue Konten in Account Factory bereitzustellen. Sie können Ihren IAM-Identity-Center-Benutzer in der IAM-Identity-Center-Konsole erneut aktivieren.

  • Wenn Sie beim Aktualisieren des bereitgestellten Produkts, das einem von Account Factory verkauften Konto zugeordnet ist, eine neue IAM Identity Center-Benutzer-E-Mail-Adresse angeben, erstellt AWS Control Tower ein neues IAM Identity Center-Benutzerkonto. Das zuvor erstellte Benutzerkonto wird nicht entfernt. Wenn Sie die vorherige IAM-Identity-Center-Benutzer-E-Mail-Adresse lieber aus dem AWS IAM Identity Center entfernen möchten, finden Sie weitere Informationen unter Deaktivieren eines Benutzers.

  • AWS IAM Identity Center wurde in Azure Active Directory integriert und Sie können Ihr vorhandenes Azure Active Directory mit AWS Control Tower verbinden.

  • Weitere Informationen darüber, wie das Verhalten von AWS Control Tower mit AWS IAM Identity Center und verschiedenen Identitätsquellen interagiert, finden Sie unter Überlegungen zum Ändern Ihrer Identitätsquelle in der AWS IAM Identity Center-Dokumentation.