Active Directory o IdP externo AWS Organizations Roles de IAM Firewalls de última generación y puertas de enlace web seguras

Consideraciones sobre IAM Identity Center

Los siguientes temas proporcionan orientación para configurar IAM Identity Center para entornos específicos. Antes de continuar con Parte 2: cree un usuario administrativo en IAM Identity Center, comprenda las instrucciones que se aplican a su entorno.

Temas

Active Directory o IdP externo
AWS Organizations
Roles de IAM
Firewalls de última generación y puertas de enlace web seguras

Active Directory o IdP externo

Si ya administra usuarios y grupos en Active Directory o en un IdP externo, le recomendamos que considere la posibilidad de conectar esta fuente de identidad al habilitar IAM Identity Center y elegir su fuente de identidad. Hacerlo antes de crear usuarios y grupos en el directorio predeterminado del Identity Centeres lo ayudará a evitar la configuración adicional que se requiere si cambia la fuente de identidad más adelante.

Si quiere utilizar Active Directory como fuente de identidad, la configuración debe cumplir los siguientes requisitos previos:

Si está usando AWS Managed Microsoft AD, debe habilitar IAM Identity Center en la misma Región de AWS donde su directorio de AWS Managed Microsoft AD está configurado. IAM Identity Center almacena los datos de asignación en la misma región que el directorio. Para administrar IAM Identity Center, es posible que deba cambiarse a la región en la que está configurado IAM Identity Center. Además, tenga en cuenta que el portal de acceso de AWS utiliza la misma URL de acceso que su directorio.
Utilice un Active Directory que resida en su cuenta de administración:

Debe tener un conector de AD existente o directorio de AWS Managed Microsoft AD configurado en AWS Directory Service, y debe residir dentro de su cuenta de administración de AWS Organizations. Solo puede conectar un conector de AD o un AWS Managed Microsoft AD a la vez. Si necesita admitir varios dominios o bosques, utilice AWS Managed Microsoft AD. Para obtener más información, consulte:
- Conectar un directorio en AWS Managed Microsoft AD a IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.
- Conectar un directorio autogestionado de Active Directory a IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.
Utilice un Active Directory que resida en la cuenta de administrador delegada:

Si planea habilitar la administración delegada de IAM Identity Center y usar Active Directory como fuente de identidad de IAM, puede usar un conector de AD existente o directorio de AWS Managed Microsoft AD configurado en el directorio de AWS que reside en la cuenta de administrador delegada.

Si decide cambiar la fuente de IAM Identity Center de cualquier otra fuente a Active Directory o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir (ser propiedad de) la cuenta de miembro administrador delegado de IAM Identity Center si existe; de lo contrario, debe estar en la cuenta de administración.

AWS Organizations

Su Cuenta de AWS debe ser gestionada por AWS Organizations. Si no ha creado una organización, no tiene que hacerlo. Cuando habilite IAM Identity Center, elegirá si desea que AWS cree una organización para usted.

Si ya ha configurado AWS Organizations, asegúrese de que todas las características estén habilitadas. Para obtener más información, consulte Habilitar todas las características de la organización en la Guía del usuario de AWS Organizations.

Para habilitar IAM Identity Center, debe iniciar sesión en la AWS Management Console utilizando las credenciales de su cuenta de administración de AWS Organizations. No puede habilitar IAM Identity Center si ha iniciado sesión con las credenciales de una cuenta de miembro de AWS Organizations. Para obtener más información, consulte Crear y gestionar una organización de AWS en la Guía del usuario de AWS Organizations.

Roles de IAM

Si ya ha configurado los roles de IAM en su Cuenta de AWS, le recomendamos que compruebe si su cuenta se acerca a la cuota de roles de IAM. Para obtener más información, consulte Cuotas de objetos de IAM.

Si se acerca a la cuota, considere solicitar un aumento de la cuota. De lo contrario, es posible que tenga problemas con IAM Identity Center al aprovisionar conjuntos de permisos a cuentas que hayan superado la cuota de roles de IAM. Para obtener información sobre cómo solicitar un aumento de cuota, consulte Solicitar un aumento de cuota en la Guía del usuario de Service Quotas.

Firewalls de última generación y puertas de enlace web seguras

Si filtra el acceso a dominios de AWS o puntos de conexión de URL específicos mediante una solución de filtrado de contenido web, como los NGFW o los SWG, debe añadir los siguientes dominios o puntos de conexión de URL a las listas de permitidos de su solución de filtrado de contenido web.

Dominios de DNS específicos

*.awsapps.com (http://awsapps.com/)
*.signin.aws

Puntos de conexión de URL específicos

https://[su directorio].awsapps.com/start
https://[su directorio].awsapps.com/login
https://[su región].signin.aws/platform/login

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos de Cuenta de AWS

Uso de múltiples Cuentas de AWS