Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
En AWS Control Tower, el Centro de Identidad de IAM permite a los administradores de la nube central y a los usuarios finales gestionar el acceso a varias AWS cuentas y aplicaciones empresariales. De forma predeterminada, AWS Control Tower utiliza este servicio para configurar y administrar el acceso a las cuentas creadas a través del generador de cuentas, a menos que haya seleccionado la opción de autoadministrar la identidad y el control de acceso.
Para obtener más información acerca de la selección de proveedores de identidades, consulte Guía de IAM Identity Center.
Para ver un breve tutorial sobre cómo configurar los usuarios de IAM Identity Center y los permisos en AWS Control Tower, puede ver este vídeo (6:23). Para una mejor visualización, seleccione el icono situado en la esquina inferior derecha del vídeo para agrandarlo a pantalla completa. Hay subtítulos disponibles.
Acerca de la configuración de AWS Control Tower con IAM Identity Center
La primera vez que configure AWS Control Tower, solo el usuario raíz y cualquier usuario de IAM con los permisos adecuados pueden añadir usuarios de IAM Identity Center. Sin embargo, después de añadir los usuarios finales al grupo AWSAccountFactory, pueden crear nuevos usuarios del IAM Identity Center desde el asistente Account Factory. Para obtener más información, consulte Aprovisionamiento y administración de cuentas con el generador de cuentas.
Si elige la opción predeterminada recomendada, AWS Control Tower configura la zona de aterrizaje con un directorio preconfigurado que le ayuda a administrar las identidades de usuario y el inicio de sesión único, de modo que los usuarios tengan acceso federado entre cuentas. Al configurar la zona de aterrizaje, este directorio predeterminado se crea para contener grupos de usuarios y conjuntos de permisos.
nota
Puede delegar la administración de AWS IAM Identity Center su organización a una cuenta que no sea la cuenta de administración mediante la función de administrador delegado del Centro de identidades de IAM. Si decide utilizar esta característica, tenga en cuenta que los administradores con acceso para administrar la pertenencia a un grupo también pueden administrar los grupos asignados a la cuenta de administración. Para obtener más información, consulte esta entrada de blog, titulada Introducción a la administración delegada del AWS SSO
Cuestiones que debe saber acerca de las cuentas del IAM Identity Center y AWS Control Tower
Aquí tiene algunas cosas buenas que debe saber cuando se trabaja con cuentas de usuario de IAM Identity Center en AWS Control Tower.
-
Si su cuenta de usuario de AWS IAM Identity Center está deshabilitada, recibirá un mensaje de error al intentar aprovisionar nuevas cuentas en Account Factory. Puede volver a habilitar su usuario de IAM Identity Center en la consola de IAM Identity Center.
-
Si especifica una nueva dirección de correo electrónico de usuario de IAM Identity Center cuando actualiza el producto aprovisionado asociado a una cuenta que ha proporcionado el generador de cuentas, AWS Control Tower crea una nueva cuenta de usuario de SSO. No se elimina la cuenta de usuario creada anteriormente. Si prefiere eliminar la dirección de correo electrónico del usuario anterior de IAM Identity Center de AWS IAM Identity Center, consulte Inhabilitar un usuario.
-
AWS El IAM Identity Center se ha integrado con Azure Active Directory
y puede conectar su Azure Active Directory existente a la Torre de Control de AWS. -
Para obtener más información sobre cómo el comportamiento de la Torre de Control de AWS interactúa con el Centro de identidad de AWS IAM y las diferentes fuentes de identidad, consulte las consideraciones para cambiar la fuente de identidad en la documentación del Centro de identidades de AWS IAM.
