AWS IAM Identity Center y AWS Organizations - AWS Organizations

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS IAM Identity Center y AWS Organizations

AWS IAM Identity Center proporciona acceso de inicio de sesión único para todas sus aplicaciones Cuentas de AWS y las de la nube. Se conecta con Microsoft Active Directory AWS Directory Service para permitir a los usuarios de ese directorio iniciar sesión en un portal de AWS acceso personalizado con sus nombres de usuario y contraseñas de Active Directory existentes. Desde el portal de AWS acceso, los usuarios tienen acceso a todas Cuentas de AWS las aplicaciones en la nube para las que tienen permisos.

Para obtener más información sobre IAM Identity Center, consulte la Guía del AWS IAM Identity Center usuario.

Utilice la siguiente información para ayudarle a integrarse AWS IAM Identity Center con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguiente rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Esta función permite a IAM Identity Center realizar operaciones de soporte en las cuentas de su organización.

Puede eliminar o modificar este rol solo si deshabilita el acceso de confianza entre IAM Identity Center y Organizations, o si elimina la cuenta del miembro de la organización.

  • AWSServiceRoleForSSO

Los principales de servicios utilizados por los roles vinculados a servicios

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Las funciones vinculadas al servicio que utiliza IAM Identity Center otorgan acceso a los siguientes directores de servicio:

  • sso.amazonaws.com

Habilitar el acceso confiable con Identity Center IAM

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Puede habilitar el acceso confiable mediante la AWS IAM Identity Center consola o la AWS Organizations consola.

importante

Recomendamos encarecidamente que, siempre que sea posible, utilice la AWS IAM Identity Center consola o las herramientas para permitir la integración con Organizations. Esto permite AWS IAM Identity Center realizar cualquier configuración que necesite, como crear los recursos que necesite el servicio. Continúe con estos pasos solo si no puede habilitar la integración utilizando las herramientas proporcionadas por AWS IAM Identity Center. Para obtener más información, consulte esta nota.

Si habilitas el acceso confiable mediante la AWS IAM Identity Center consola o las herramientas, no necesitas completar estos pasos.

IAMIdentity Center requiere un acceso confiable AWS Organizations para funcionar. El acceso confiable se habilita al configurar IAM Identity Center. Para obtener más información, consulte Comienzo - Paso 1: Habilitar AWS IAM Identity Center en la Guía del usuario AWS IAM Identity Center .

Puede habilitar el acceso confiable mediante la AWS Organizations consola, ejecutando un AWS CLI comando o llamando a una API operación en una de las AWS SDKs.

AWS Management Console
Para habilitar el acceso de confianza mediante la consola de Organizations
  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación, elija Servicios.

  3. En la lista de servicios, elija AWS IAM Identity Center.

  4. Elija Habilitar acceso de confianza.

  5. En el cuadro de AWS IAM Identity Center diálogo Habilitar el acceso de confianza para, escriba habilitar para confirmar y, a continuación, seleccione Habilitar el acceso de confianza.

  6. Si es el administrador de Only AWS Organizations, dígale al administrador AWS IAM Identity Center que ahora puede habilitar el funcionamiento de ese servicio AWS Organizations desde la consola de servicios.

AWS CLI, AWS API
Para habilitar el acceso a servicios confiables mediante OrganizationsCLI/SDK

Utilice los siguientes AWS CLI comandos u API operaciones para habilitar el acceso a los servicios de confianza:

  • AWS CLI: enable-aws-service-access

    Ejecute el siguiente comando para habilitarlo AWS IAM Identity Center como un servicio de confianza con Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal sso.amazonaws.com

    Este comando no genera ninguna salida si se realiza correctamente.

  • AWS API: E nableAWSService Access

Deshabilitar el acceso de confianza con IAM Identity Center

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

IAMIdentity Center requiere un acceso confiable AWS Organizations para funcionar. Si deshabilita el acceso de confianza AWS Organizations mientras usa IAM Identity Center, dejará de funcionar porque no podrá acceder a la organización. Los usuarios no pueden usar IAM Identity Center para acceder a las cuentas. Todos los roles que IAM Identity Center cree permanecen, pero el servicio de IAM Identity Center no puede acceder a ellos. Las funciones vinculadas al servicio de IAM Identity Center permanecen. Si vuelve a habilitar el acceso de confianza, IAM Identity Center seguirá funcionando como antes, sin necesidad de volver a configurar el servicio.

Si elimina una cuenta de su organización, IAM Identity Center limpia automáticamente todos los metadatos y los recursos, como su función vinculada al servicio. Una cuenta independiente que se elimina de una organización ya no funciona con Identity Center. IAM

Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza mediante la AWS Organizations consola, ejecutando un AWS CLI comando de Organizations o llamando a una API operación de Organizations en uno de los AWS SDKs.

AWS Management Console
Para deshabilitar el acceso de confianza mediante la consola de Organizations
  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación, elija Servicios.

  3. En la lista de servicios, elija AWS IAM Identity Center.

  4. Seleccione Deshabilitar el acceso de confianza.

  5. En el cuadro de AWS IAM Identity Center diálogo Deshabilitar el acceso de confianza para, escriba disable para confirmar y, a continuación, seleccione Inhabilitar el acceso de confianza.

  6. Si es el administrador de Only AWS Organizations, dígale al administrador AWS IAM Identity Center que ahora puede deshabilitar el funcionamiento de ese servicio AWS Organizations mediante la consola de servicios o las herramientas.

AWS CLI, AWS API
Para deshabilitar el acceso a servicios de confianza mediante OrganizationsCLI/SDK

Puede utilizar los siguientes AWS CLI comandos u API operaciones para deshabilitar el acceso a los servicios de confianza:

  • AWS CLI: disable-aws-service-access

    Ejecute el siguiente comando para inhabilitarlo AWS IAM Identity Center como servicio de confianza con Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal sso.amazonaws.com

    Este comando no genera ninguna salida si se realiza correctamente.

  • AWS API: D isableAWSService Access

Habilitar una cuenta de administrador delegado para IAM Identity Center

Al designar una cuenta de miembro como administrador delegado de la organización, los usuarios y las funciones de esa cuenta pueden realizar acciones administrativas para IAM Identity Center que, de otro modo, solo podrían realizar los usuarios o los roles de la cuenta de administración de la organización. Esto le ayuda a separar la administración de la organización de la administración de IAM Identity Center.

Permisos mínimos

Solo un usuario o rol de la cuenta de administración de Organizations puede configurar una cuenta de miembro como administrador delegado de IAM Identity Center en la organización.

Para obtener instrucciones sobre cómo habilitar una cuenta de administrador delegado para IAM Identity Center, consulte Administración delegada en la Guía del AWS IAM Identity Center usuario.