Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Administrator yang didelegasikan
Administrasi yang didelegasikan menyediakan cara yang nyaman bagi pengguna yang ditugaskan di akun anggota terdaftar untuk melakukan sebagian besar tugas administratif Pusat Identitas IAM. Saat Anda mengaktifkan Pusat Identitas IAM, instans Pusat Identitas IAM Anda dibuat di akun manajemen secara AWS Organizations default. Ini awalnya dirancang dengan cara ini sehingga Pusat Identitas IAM dapat menyediakan, menghilangkan penyediaan, dan memperbarui peran di semua akun anggota organisasi Anda. Meskipun instans Pusat Identitas IAM Anda harus selalu berada di akun manajemen, Anda dapat memilih untuk mendelegasikan administrasi Pusat Identitas IAM ke akun anggota AWS Organizations, sehingga memperluas kemampuan untuk mengelola Pusat Identitas IAM dari luar akun manajemen.
Mengaktifkan administrasi yang didelegasikan memberikan manfaat berikut:
-
Meminimalkan jumlah orang yang memerlukan akses ke akun manajemen untuk membantu mengurangi masalah keamanan
-
Memungkinkan administrator tertentu untuk menetapkan pengguna dan grup ke aplikasi dan ke akun anggota organisasi Anda
Untuk informasi selengkapnya tentang cara kerja IAM Identity Center AWS Organizations, lihatAkun AWS akses. Untuk informasi tambahan dan untuk meninjau contoh skenario perusahaan yang menunjukkan cara mengonfigurasi administrasi yang didelegasikan, lihat Memulai administrasi delegasi Pusat Identitas IAM di Blog
Topik
Praktik terbaik
Berikut adalah beberapa praktik terbaik yang perlu dipertimbangkan sebelum Anda mengonfigurasi administrasi yang didelegasikan.
-
Berikan hak istimewa paling sedikit ke akun manajemen - Mengetahui bahwa akun manajemen adalah akun yang sangat istimewa dan untuk mematuhi prinsip hak istimewa paling sedikit, kami sangat menyarankan Anda membatasi akses ke akun manajemen kepada sesedikit mungkin orang. Fitur administrator yang didelegasikan dimaksudkan untuk meminimalkan jumlah orang yang memerlukan akses ke akun manajemen.
-
Buat set izin untuk digunakan hanya di akun manajemen — Ini memudahkan pengelolaan set izin yang disesuaikan hanya untuk pengguna yang mengakses akun manajemen Anda dan membantu membedakannya dari kumpulan izin yang dikelola oleh akun administrator yang didelegasikan.
-
Pertimbangkan lokasi Direktori Aktif Anda — Jika Anda berencana menggunakan Active Directory sebagai sumber identitas Pusat Identitas IAM Anda, cari direktori di akun anggota tempat Anda mengaktifkan fitur administrator yang didelegasikan IAM Identity Center. Jika Anda memutuskan untuk mengubah sumber identitas IAM Identity Center dari sumber lain ke Active Directory, atau mengubahnya dari Active Directory ke sumber lain, direktori harus berada di (dimiliki oleh) akun anggota administrator yang didelegasikan IAM Identity Center jika ada; jika tidak, itu harus berada di akun manajemen.
-
Buat penugasan pengguna hanya di akun manajemen — Administrator yang didelegasikan tidak dapat mengubah set izin yang disediakan di akun manajemen. Namun, administrator yang didelegasikan dapat menambah, mengedit, dan menghapus grup dan tugas grup.
Prasyarat
Sebelum Anda dapat mendaftarkan akun sebagai administrator yang didelegasikan, Anda harus terlebih dahulu menerapkan lingkungan berikut:
-
AWS Organizations harus diaktifkan dan dikonfigurasi dengan setidaknya satu akun anggota selain akun manajemen default Anda.
-
Jika sumber identitas Anda disetel ke Active Directory, Pusat Identitas IAM sinkronisasi AD yang dapat dikonfigurasi fitur tersebut harus diaktifkan.
