Active Directory atau iDP eksternal AWS Organizations IAM role Firewall generasi berikutnya dan gateway web yang aman

Pertimbangan IAM Identity Center

Topik berikut memberikan panduan untuk menyiapkan IAM Identity Center untuk lingkungan tertentu. Pahami panduan yang berlaku untuk lingkungan Anda sebelum Anda melanjutkanBagian 2: Membuat pengguna administratif di IAM Identity Center.

Topik

Active Directory atau iDP eksternal
AWS Organizations
IAM role
Firewall generasi berikutnya dan gateway web yang aman

Active Directory atau iDP eksternal

Jika Anda sudah mengelola pengguna dan grup di Active Directory atau IdP eksternal, sebaiknya Anda mempertimbangkan untuk menghubungkan sumber identitas ini saat Anda mengaktifkan IAM Identity Center dan memilih sumber identitas Anda. Melakukan hal ini sebelum Anda membuat pengguna dan grup apa pun di direktori Pusat Identitas default akan membantu Anda menghindari konfigurasi tambahan yang diperlukan jika Anda mengubah sumber identitas Anda nanti.

Jika Anda ingin menggunakan Active Directory sebagai sumber identitas Anda, konfigurasi Anda harus memenuhi prasyarat berikut:

Jika Anda menggunakanAWS Managed Microsoft AD, Anda harus mengaktifkan IAM Identity Center dalam hal yang samaWilayah AWSdi mana AndaAWS Managed Microsoft ADdirektori diatur. IAM Identity Center menyimpan data penugasan di Wilayah yang sama dengan direktori. Untuk mengelola IAM Identity Center, Anda mungkin perlu beralih ke Wilayah tempat IAM Identity Center dikonfigurasi. Juga, perhatikan bahwaAWSportal akses menggunakan URL akses yang sama dengan direktori Anda.
Gunakan Active Directory yang berada di akun manajemen Anda:

Anda harus memiliki Konektor AD yang sudah ada atauAWS Managed Microsoft ADdirektori diatur dalamAWS Directory Service, dan itu harus berada dalamAWS Organizationsakun manajemen. Anda hanya dapat menghubungkan satu Konektor AD atau satuAWS Managed Microsoft ADpada suatu waktu. Jika Anda perlu mendukung beberapa domain atau hutan, gunakanAWS Managed Microsoft AD. Untuk informasi selengkapnya, lihat:
- Hubungkan direktori diAWS Managed Microsoft ADke IAM Identity Centerdi dalamAWS IAM Identity CenterPanduan Pengguna.
- Menghubungkan direktori yang dikelola sendiri di Active Directory ke IAM Identity Centerdi dalamAWS IAM Identity CenterPanduan Pengguna.
Gunakan Active Directory yang berada di akun admin yang didelegasikan:

Jika Anda berencana untuk mengaktifkan admin yang didelegasikan IAM Identity Center dan menggunakan Active Directory sebagai sumber identitas IAM Anda, Anda dapat menggunakan Konektor AD yang ada atauAWS Managed Microsoft ADdirektori diatur dalamAWSdirektori yang berada di akun admin yang didelegasikan.

Jika Anda memutuskan untuk mengubah sumber IAM Identity Center dari sumber lain ke Active Directory, atau mengubahnya dari Active Directory ke sumber lain, direktori harus berada di (dimiliki oleh) akun anggota administrator yang didelegasikan IAM Identity Center jika ada; jika tidak, itu harus ada di akun manajemen.

AWS Organizations

AndaAkun AWSharus dikelola olehAWS Organizations. Jika Anda belum menyiapkan organisasi, Anda tidak perlu melakukannya. Saat Anda mengaktifkan IAM Identity Center, Anda akan memilih apakah akan memilikinyaAWSbuat organisasi untuk Anda.

Jika Anda sudah menyiapkanAWS Organizations, pastikan semua fitur diaktifkan. Untuk informasi selengkapnya, lihat Mengaktifkan semua fitur di organisasi Anda dalam Panduan Pengguna AWS Organizations.

Untuk mengaktifkan IAM Identity Center, Anda harus masuk keAWS Management Consoledengan menggunakan kredensyal AndaAWS Organizationsakun manajemen. Anda tidak dapat mengaktifkan IAM Identity Center saat masuk dengan kredensi dariAWS Organizationsakun anggota. Untuk informasi lebih lanjut, lihatMembuat dan mengelolaAWSOrganisasidi dalamAWS OrganizationsPanduan Pengguna.

IAM role

Jika Anda telah mengonfigurasi peran IAM diAkun AWS, kami sarankan Anda memeriksa apakah akun Anda mendekati kuota untuk peran IAM. Untuk informasi lebih lanjut, lihatKuota objek IAM.

Jika Anda mendekati kuota, pertimbangkan untuk meminta kenaikan kuota. Jika tidak, Anda mungkin mengalami masalah dengan IAM Identity Center saat Anda menyediakan set izin ke akun yang telah melebihi kuota peran IAM. Untuk informasi tentang cara meminta kenaikan kuota, lihatMeminta kenaikan kuotadi dalamPanduan Pengguna Kuota Layanan.

Firewall generasi berikutnya dan gateway web yang aman

Jika Anda memfilter akses ke spesifikAWSdomain atau endpoint URL dengan menggunakan solusi penyaringan konten web seperti NGFWs atau SWG, Anda harus menambahkan domain atau endpoint URL berikut ke solusi penyaringan konten web Anda allow-list.

Domain DNS spesifik

*.awsapps.com (http://awsapps.com/)
*.signin.aws

Endpoint URL tertentu

https://[direktori Anda].awsapps.com/mulai
https://[direktori Anda].awsapps.com/masuk
https://[wilayahmu].signin.aws/platform/masuk

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Akun AWSpersyaratan

Menggunakan beberapaAkun AWS