Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Trabajando con AWS IAM Identity Center y AWS Control Tower
En AWS Control Tower, IAM Identity Center permite a los administradores de la nube central y a los usuarios finales gestionar el acceso a múltiples AWS cuentas y aplicaciones empresariales. De forma predeterminada, AWS Control Tower usa este servicio para configurar y administrar el acceso a las cuentas creadas a través de Account Factory, a menos que haya seleccionado la opción de autoadministrar su identidad y control de acceso.
Para obtener más información acerca de la selección de proveedores de identidades, consulte Guía de IAM Identity Center.
Para ver un breve tutorial sobre cómo configurar los usuarios y permisos del Centro de IAM Identidad en AWS Control Tower, puede ver este vídeo (6:23). Para una mejor visualización, seleccione el icono situado en la esquina inferior derecha del vídeo para agrandarlo a pantalla completa. Hay subtítulos disponibles.
Acerca de la configuración de la Torre de AWS Control con IAM Identity Center
Al configurar la Torre de AWS Control por primera vez, solo el usuario raíz y IAM los usuarios con los permisos correctos pueden añadir usuarios de IAM Identity Center. Sin embargo, una vez agregados los usuarios finales al AWSAccountFactorygrupo, pueden crear nuevos usuarios del Centro de IAM Identidad desde el asistente Account Factory. Para obtener más información, consulte Aprovisionamiento y administración de cuentas con el generador de cuentas.
Si eliges la opción predeterminada recomendada, AWS Control Tower configura tu landing zone con un directorio preconfigurado que te ayuda a gestionar las identidades de los usuarios y el inicio de sesión único, de forma que tus usuarios tengan acceso federado a todas las cuentas. Al configurar la zona de aterrizaje, este directorio predeterminado se crea para contener grupos de usuarios y conjuntos de permisos.
nota
Puede delegar la administración de AWS IAM Identity Center su organización a una cuenta que no sea la cuenta de administración mediante la función de administrador delegado de Identity Center. IAM Si decide utilizar esta característica, tenga en cuenta que los administradores con acceso para administrar la pertenencia a un grupo también pueden administrar los grupos asignados a la cuenta de administración. Para obtener más información, consulte esta entrada de blog, titulada Introducción a la administración AWS SSO delegada
Lo que debe saber sobre las cuentas de IAM Identity Center y la Torre AWS de Control
Estas son algunas cosas útiles que debe tener en cuenta al trabajar con las cuentas de usuario de IAM Identity Center en AWS Control Tower.
-
Si tu cuenta de usuario de AWS IAM Identity Center está deshabilitada, recibirás un mensaje de error cuando intentes aprovisionar cuentas nuevas en Account Factory. Puede volver a activar su usuario de IAM Identity Center en la consola de IAM Identity Center.
-
Si especifica una nueva dirección de correo electrónico de usuario de IAM Identity Center al actualizar el producto aprovisionado asociado a una cuenta vendida por Account Factory, AWS Control Tower crea una nueva cuenta de usuario de IAM Identity Center. No se elimina la cuenta de usuario creada anteriormente. Si prefiere eliminar de IAM Identity Center la dirección de correo electrónico del usuario anterior de AWS IAM Identity Center, consulte Inhabilitar un usuario.
-
AWS IAMIdentity Center se ha integrado con Azure Active Directory
y puede conectar su Azure Active Directory existente a la Torre de AWS Control Tower. -
Para obtener más información sobre cómo el comportamiento de la Torre de AWS Control interactúa con AWS IAM Identity Center y las diferentes fuentes de identidad, consulte las Consideraciones para cambiar la fuente de identidad en la documentación del AWS IAM Identity Center.