Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Trabajo con el Centro de Identidad de AWS IAM y la Torre de Control de AWS
En AWS Control Tower, el Centro de Identidad de IAM permite a los administradores de la nube central y a los usuarios finales gestionar el acceso a varias AWS cuentas y aplicaciones empresariales. De forma predeterminada, AWS Control Tower usa este servicio para configurar y administrar el acceso a las cuentas creadas a través de Account Factory, a menos que haya seleccionado la opción de autoadministrar su identidad y control de acceso.
Para obtener más información sobre cómo seleccionar un proveedor de identidad, consulte. IAMGuía sobre el Centro de Identidad
Para ver un breve tutorial sobre cómo configurar los usuarios y los permisos del IAM Identity Center en AWS Control Tower, puede ver este vídeo (6:23). Para una mejor visualización, seleccione el icono situado en la esquina inferior derecha del vídeo para agrandarlo a pantalla completa. Hay subtítulos disponibles.
Acerca de la configuración de la Torre de Control de AWS con el Centro de Identidad de IAM
Cuando configuró AWS Control Tower por primera vez, solo el usuario raíz y los usuarios de IAM con los permisos correctos podían añadir usuarios del IAM Identity Center. Sin embargo, una vez agregados los usuarios finales al AWSAccountFactorygrupo, pueden crear nuevos usuarios del IAM Identity Center desde el asistente Account Factory. Para obtener más información, consulte Aprovisione y administre cuentas con Account Factory.
Si elige la opción predeterminada recomendada, AWS Control Tower configura su landing zone con un directorio preconfigurado que le ayuda a administrar las identidades de los usuarios y el inicio de sesión único, de modo que sus usuarios tengan acceso federado a todas las cuentas. Cuando configuras tu landing zone, este directorio predeterminado se crea para contener grupos de usuarios y conjuntos de permisos.
nota
Puede delegar la administración de AWS IAM Identity Center su organización a una cuenta que no sea la cuenta de administración mediante la función de administrador delegado de IAM Identity Center. Si decide utilizar esta función, tenga en cuenta que los administradores con acceso para gestionar la pertenencia a un grupo también pueden gestionar los grupos asignados a la cuenta de gestión. Para obtener más información, consulte esta entrada del blog, titulada Introducción a la administración delegada AWS del SSO
Lo que debe saber sobre las cuentas del IAM Identity Center y AWS Control Tower
Estas son algunas cosas útiles que debe tener en cuenta al trabajar con las cuentas de usuario del IAM Identity Center en AWS Control Tower.
-
Si su cuenta de usuario de AWS IAM Identity Center está deshabilitada, recibirá un mensaje de error al intentar aprovisionar cuentas nuevas en Account Factory. Puede volver a activar su usuario del IAM Identity Center en la consola del IAM Identity Center.
-
Si especifica una nueva dirección de correo electrónico de usuario del IAM Identity Center al actualizar el producto aprovisionado asociado a una cuenta vendida por Account Factory, AWS Control Tower crea una nueva cuenta de usuario del IAM Identity Center. No se elimina la cuenta de usuario creada anteriormente. Si prefiere eliminar la dirección de correo electrónico del usuario anterior del Centro de Identidad de IAM del Centro de Identidad de AWS IAM, consulte Desactivación de un usuario.
-
AWS El IAM Identity Center se ha integrado con Azure Active Directory
y puede conectar su Azure Active Directory existente a la Torre de Control de AWS. -
Para obtener más información sobre cómo el comportamiento de la Torre de Control de AWS interactúa con el Centro de identidad de AWS IAM y las diferentes fuentes de identidad, consulte las consideraciones para cambiar la fuente de identidad en la documentación del Centro de identidades de AWS IAM.
