Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Panduan Pusat Identitas IAM
AWS Control Tower merekomendasikan agar Anda menggunakan AWS Identity and Access Management (IAM) untuk mengatur akses ke Anda Akun AWS. Namun, Anda memiliki opsi untuk memilih apakah AWS Control Tower menyiapkan IAM Identity Center untuk Anda, apakah Anda menyiapkan Pusat Identitas IAM untuk diri sendiri, dengan cara yang paling efektif memenuhi persyaratan bisnis Anda, atau memilih metode lain untuk akses akun.
catatan
SSO adalah singkatan yang digunakan dalam industri teknologi untuk menunjukkan single sign-on. Secara umum, SSO adalah sesi dan layanan otentikasi pengguna. Ini memungkinkan seseorang untuk menggunakan satu set kredensi login untuk akses ke banyak aplikasi. Ketika mengacu pada kemampuan single-sign on AWS, kami mengacu pada AWS layanan yang disebut AWS Identity and Access Management, dan disingkat IAM atau IAM Identity Center.
Secara default, AWS Control Tower menyiapkan Pusat AWS Identitas IAM untuk landing zone Anda, selaras dengan panduan praktik terbaik yang ditentukan dalam Mengatur AWS lingkungan Anda menggunakan beberapa akun. Sebagian besar pelanggan memilih default. Metode akses alternatif kadang-kadang diperlukan, untuk kepatuhan peraturan di industri atau negara tertentu, atau di Wilayah AWS mana Pusat AWS Identitas IAM tidak tersedia.
Memilih opsi
Dari konsol, Anda dapat memilih untuk mengelola sendiri Pusat Identitas IAM selama proses penyiapan landing zone, daripada mengizinkan AWS Control Tower mengaturnya untuk Anda. Kapan saja nanti, Anda dapat memilih untuk mengubah pilihan ini, dengan memodifikasi pengaturan landing zone dan memperbarui landing zone Anda di halaman Pengaturan landing zone.
Untuk menghentikan AWS IAM Identity Center di AWS Control Tower, atau untuk mulai menggunakan AWS IAM Identity Center
-
Arahkan ke halaman Pengaturan landing zone
-
Pilih tab Konfigurasi
-
Kemudian pilih tombol radio yang sesuai, untuk mengubah pilihan Anda untuk AWS IAM Identity Center.
Setelah Anda memilih untuk mengelola sendiri Pusat Identitas AWS IAM sebagai IDP Anda, AWS Control Tower hanya membuat peran dan kebijakan yang diperlukan untuk mengelola AWS Control Tower, seperti dan. AWSControlTowerAdmin
AWSControlTowerAdminPolicy
Untuk zona pendaratan yang dikelola sendiri, AWS Control Tower tidak lagi membuat peran dan pengelompokan IAM untuk penggunaan khusus pelanggan — tidak selama proses pengaturan landing zone, maupun selama penyediaan akun dengan Account Factory.
catatan
Jika Anda menghapus Pusat AWS Identitas IAM dari zona landing AWS Control Tower Anda, pengguna, grup, dan set izin yang dibuat AWS Control Tower tidak akan dihapus. Kami menyarankan Anda menghapus sumber daya ini.
Pelanggan Account Factory dengan penyedia identitas alternatif (IdPs) seperti Azure AD, Ping, atau Okta, dapat mengikuti proses AWS IAM Identity Center untuk terhubung ke penyedia identitas eksternal dan melakukan onboard IDP mereka. Anda dapat kembali membuat AWS Control Tower menghasilkan pengelompokan dan peran Anda kapan saja, dengan memodifikasi pengaturan landing zone.
-
Untuk informasi spesifik tentang cara kerja AWS Control Tower dengan IAM Identity Center berdasarkan sumber identitas Anda, lihat Pertimbangan untuk AWS IAM Identity Center pelanggan di bagian Pemeriksaan pra-peluncuran di halaman Memulai Panduan Pengguna ini.
-
Untuk informasi tambahan tentang bagaimana perilaku AWS Control Tower berinteraksi dengan IAM Identity Center dan berbagai sumber identitas, lihat Pertimbangan untuk Mengubah Sumber Identitas Anda di Panduan Pengguna Pusat Identitas IAM.
-
Lihat Bekerja dengan AWS IAM Identity Center dan AWS Control Tower untuk informasi selengkapnya tentang bekerja dengan AWS Control Tower dan IAM Identity Center.