Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Consideraciones sobre IAM Identity Center
Los siguientes temas proporcionan orientación para configurar IAM Identity Center para entornos específicos. Antes de continuar con Parte 2: cree un usuario administrativo en IAM Identity Center, comprenda las instrucciones que se aplican a su entorno.
Temas
Active Directory o IdP externo
Si ya administra usuarios y grupos en Active Directory o en un IdP externo, le recomendamos que considere la posibilidad de conectar esta fuente de identidad al habilitar IAM Identity Center y elegir su fuente de identidad. Hacerlo antes de crear usuarios y grupos en el directorio predeterminado del Identity Centeres lo ayudará a evitar la configuración adicional que se requiere si cambia la fuente de identidad más adelante.
Si quiere utilizar Active Directory como fuente de identidad, la configuración debe cumplir los siguientes requisitos previos:
-
Si está usando AWS Managed Microsoft AD, debe habilitar IAM Identity Center en la misma Región de AWS donde su directorio de AWS Managed Microsoft AD está configurado. IAM Identity Center almacena los datos de asignación en la misma región que el directorio. Para administrar IAM Identity Center, es posible que deba cambiarse a la región en la que está configurado IAM Identity Center. Además, tenga en cuenta que el portal de acceso de AWS utiliza la misma URL de acceso que su directorio.
-
Utilice un Active Directory que resida en su cuenta de administración:
Debe tener un conector de AD existente o directorio de AWS Managed Microsoft AD configurado en AWS Directory Service, y debe residir dentro de su cuenta de administración de AWS Organizations. Solo puede conectar un conector de AD o un AWS Managed Microsoft AD a la vez. Si necesita admitir varios dominios o bosques, utilice AWS Managed Microsoft AD. Para obtener más información, consulte:
-
Conectar un directorio en AWS Managed Microsoft AD a IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.
-
Conectar un directorio autogestionado de Active Directory a IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.
-
-
Utilice un Active Directory que resida en la cuenta de administrador delegada:
Si planea habilitar la administración delegada de IAM Identity Center y usar Active Directory como fuente de identidad de IAM, puede usar un conector de AD existente o directorio de AWS Managed Microsoft AD configurado en el directorio de AWS que reside en la cuenta de administrador delegada.
Si decide cambiar la fuente de IAM Identity Center de cualquier otra fuente a Active Directory o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir (ser propiedad de) la cuenta de miembro administrador delegado de IAM Identity Center si existe; de lo contrario, debe estar en la cuenta de administración.
AWS Organizations
Su Cuenta de AWS debe ser gestionada por AWS Organizations. Si no ha creado una organización, no tiene que hacerlo. Cuando habilite IAM Identity Center, elegirá si desea que AWS cree una organización para usted.
Si ya ha configurado AWS Organizations, asegúrese de que todas las características estén habilitadas. Para obtener más información, consulte Habilitar todas las características de la organización en la Guía del usuario de AWS Organizations.
Para habilitar IAM Identity Center, debe iniciar sesión en la AWS Management Console utilizando las credenciales de su cuenta de administración de AWS Organizations. No puede habilitar IAM Identity Center si ha iniciado sesión con las credenciales de una cuenta de miembro de AWS Organizations. Para obtener más información, consulte Crear y gestionar una organización de AWS en la Guía del usuario de AWS Organizations.
Roles de IAM
Si ya ha configurado los roles de IAM en su Cuenta de AWS, le recomendamos que compruebe si su cuenta se acerca a la cuota de roles de IAM. Para obtener más información, consulte Cuotas de objetos de IAM.
Si se acerca a la cuota, considere solicitar un aumento de la cuota. De lo contrario, es posible que tenga problemas con IAM Identity Center al aprovisionar conjuntos de permisos a cuentas que hayan superado la cuota de roles de IAM. Para obtener información sobre cómo solicitar un aumento de cuota, consulte Solicitar un aumento de cuota en la Guía del usuario de Service Quotas.
Firewalls de última generación y puertas de enlace web seguras
Si filtra el acceso a dominios de AWS o puntos de conexión de URL específicos mediante una solución de filtrado de contenido web, como los NGFW o los SWG, debe añadir los siguientes dominios o puntos de conexión de URL a las listas de permitidos de su solución de filtrado de contenido web.
Dominios de DNS específicos
*.awsapps.com (http://awsapps.com/)
*.signin.aws
Puntos de conexión de URL específicos
https://
[su directorio]
.awsapps.com/starthttps://
[su directorio]
.awsapps.com/loginhttps://
[su región]
.signin.aws/platform/login