IAMGuía sobre el Centro de Identidad - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

IAMGuía sobre el Centro de Identidad

AWSControl Tower recomienda que utilice AWS Identity and Access Management (IAM) para regular el acceso a su Cuentas de AWS. Sin embargo, tiene la opción de elegir si AWS Control Tower configura el Centro de IAM Identidad por usted, si configura el Centro de IAM Identidad usted mismo, de la manera que satisfaga sus requisitos empresariales de la manera más eficaz, o si selecciona otro método de acceso a la cuenta.

nota

SSOes una abreviatura que se utiliza en el sector de la tecnología para indicar el inicio de sesión único. En términos generales, SSO es un servicio de autenticación de sesión y usuario. Permite a alguien usar un conjunto de credenciales de inicio de sesión para acceder a muchas aplicaciones. Cuando nos referimos a la función de inicio de sesión único AWS, nos referimos al AWS servicio denominado Identity AWS Identity and Access ManagementCenter, abreviado como IAMIdentity IAMCenter.

De forma predeterminada, AWS Control Tower configura el Centro de AWS IAM Identidad para tu landing zone, de acuerdo con las recomendaciones de mejores prácticas definidas en Organizar tu AWS entorno con varias cuentas. La mayoría de los clientes eligen la opción predeterminada. A veces, se requieren métodos de acceso alternativos para cumplir con las normas en sectores o países específicos, o en aquellos Regiones de AWS lugares donde AWS IAM Identity Center no está disponible.

Elegir una opción

Desde la consola, puedes elegir autogestionar IAM Identity Center durante el proceso de configuración de la landing zone, en lugar de permitir que AWS Control Tower lo configure por ti. En cualquier momento posterior, puedes cambiar esta selección modificando la configuración de la zona de aterrizaje y actualizando tu zona de aterrizaje en la página de configuración de la zona de aterrizaje.

Para dejar de usar AWS IAM Identity Center en AWS Control Tower o empezar a usar AWS IAM Identity Center

  1. Ve a la página de configuración de la landing zone

  2. Seleccione la pestaña Configuraciones

  3. A continuación, elija el botón de radio correspondiente para cambiar la selección de AWS IAM Identity Center.

Si decide autogestionar AWS IAM Identity Center como su IdP, Control AWS Tower crea solo las funciones y políticas necesarias para gestionar Control AWS Tower, como AWSControlTowerAdmin y. AWSControlTowerAdminPolicy En el caso de las zonas de aterrizaje que se autogestionan, AWS Control Tower ya no crea IAM roles ni agrupaciones para uso específico del cliente, ni durante el proceso de configuración de la zona de aterrizaje ni durante el aprovisionamiento de cuentas con Account Factory.

nota

Si eliminas AWS IAM Identity Center de la zona de aterrizaje de la Torre de AWS Control, los usuarios, grupos y conjuntos de permisos que creó AWS Control Tower no se eliminarán. Le recomendamos que elimine estos recursos.

Los clientes de Account Factory con proveedores de identidad alternativos (IdPs), como Azure AD, Ping u Okta, pueden seguir el proceso del Centro de AWS IAM Identidad para conectarse a un proveedor de identidad externo e incorporar su IdP. Puedes volver a hacer que AWS Control Tower genere tus agrupaciones y roles en cualquier momento modificando la configuración de la landing zone.