Panduan Pusat Identitas IAM - AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Panduan Pusat Identitas IAM

AWS Control Tower merekomendasikan agar Anda menggunakan AWS Identity and Access Management (IAM) untuk mengatur akses ke Anda Akun AWS. Namun, Anda memiliki opsi untuk memilih apakah AWS Control Tower menyiapkan IAM Identity Center untuk Anda, apakah Anda menyiapkan Pusat Identitas IAM untuk diri sendiri, dengan cara yang paling efektif memenuhi persyaratan bisnis Anda, atau memilih metode lain untuk akses akun.

catatan

SSO adalah singkatan yang digunakan dalam industri teknologi untuk menunjukkan single sign-on. Secara umum, SSO adalah sesi dan layanan otentikasi pengguna. Ini memungkinkan seseorang untuk menggunakan satu set kredensi login untuk akses ke banyak aplikasi. Ketika mengacu pada kemampuan single-sign on AWS, kami mengacu pada AWS layanan yang disebut AWS Identity and Access Management, dan disingkat IAM atau IAM Identity Center.

Secara default, AWS Control Tower menyiapkan Pusat AWS Identitas IAM untuk landing zone Anda, selaras dengan panduan praktik terbaik yang ditentukan dalam Mengatur AWS lingkungan Anda menggunakan beberapa akun. Sebagian besar pelanggan memilih default. Metode akses alternatif kadang-kadang diperlukan, untuk kepatuhan peraturan di industri atau negara tertentu, atau di Wilayah AWS mana Pusat AWS Identitas IAM tidak tersedia.

Memilih opsi

Dari konsol, Anda dapat memilih untuk mengelola sendiri Pusat Identitas IAM selama proses penyiapan landing zone, daripada mengizinkan AWS Control Tower mengaturnya untuk Anda. Kapan saja nanti, Anda dapat memilih untuk mengubah pilihan ini, dengan memodifikasi pengaturan landing zone dan memperbarui landing zone Anda di halaman Pengaturan landing zone.

Untuk menghentikan AWS IAM Identity Center di AWS Control Tower, atau untuk mulai menggunakan AWS IAM Identity Center
  1. Arahkan ke halaman Pengaturan landing zone

  2. Pilih tab Konfigurasi

  3. Kemudian pilih tombol radio yang sesuai, untuk mengubah pilihan Anda untuk AWS IAM Identity Center.

Setelah Anda memilih untuk mengelola sendiri Pusat Identitas AWS IAM sebagai IDP Anda, AWS Control Tower hanya membuat peran dan kebijakan yang diperlukan untuk mengelola AWS Control Tower, seperti dan. AWSControlTowerAdmin AWSControlTowerAdminPolicy Untuk zona pendaratan yang dikelola sendiri, AWS Control Tower tidak lagi membuat peran dan pengelompokan IAM untuk penggunaan khusus pelanggan — tidak selama proses pengaturan landing zone, maupun selama penyediaan akun dengan Account Factory.

catatan

Jika Anda menghapus Pusat AWS Identitas IAM dari zona landing AWS Control Tower Anda, pengguna, grup, dan set izin yang dibuat AWS Control Tower tidak akan dihapus. Kami menyarankan Anda menghapus sumber daya ini.

Pelanggan Account Factory dengan penyedia identitas alternatif (IdPs) seperti Azure AD, Ping, atau Okta, dapat mengikuti proses AWS IAM Identity Center untuk terhubung ke penyedia identitas eksternal dan melakukan onboard IDP mereka. Anda dapat kembali membuat AWS Control Tower menghasilkan pengelompokan dan peran Anda kapan saja, dengan memodifikasi pengaturan landing zone.