Considerazioni su IAM Identity Center - AWS Installazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni su IAM Identity Center

I seguenti argomenti forniscono indicazioni per la configurazione di IAM Identity Center per ambienti specifici. Comprendi le linee guida applicabili al tuo ambiente prima di procedereParte 2: creare un utente amministrativo in IAM Identity Center.

Active Directory o IdP esterno

Se gestisci già utenti e gruppi in Active Directory o in un IdP esterno, ti consigliamo di connettere questa fonte di identità quando abiliti IAM Identity Center e scegli la tua fonte di identità. Questa operazione prima di creare utenti e gruppi nella directory predefinita di Identity Center consente di evitare la configurazione aggiuntiva richiesta se si modifica l'origine dell'identità in un secondo momento.

Se si desidera utilizzare Active Directory come fonte di identità, la configurazione deve soddisfare i seguenti prerequisiti:

  • Se stai usandoAWS Managed Microsoft AD, devi abilitare IAM Identity Center nello stessoRegione AWSdove il tuoAWS Managed Microsoft ADla cartella è impostata. IAM Identity Center archivia i dati di assegnazione nella stessa regione della directory. Per amministrare IAM Identity Center, potrebbe essere necessario passare alla regione in cui è configurato IAM Identity Center. Inoltre, si noti cheAWSil portale di accesso utilizza lo stesso URL di accesso della rubrica.

  • Usa un Active Directory che risiede nel tuo account di gestione:

    È necessario disporre di un connettore AD esistente oAWS Managed Microsoft ADcartella impostata inAWS Directory Servicee deve risiedere all'interno del tuoAWS Organizationsaccount di gestione. È possibile connettere solo un connettore AD o unoAWS Managed Microsoft ADalla volta. Se devi supportare più domini o foreste, usaAWS Managed Microsoft AD. Per ulteriori informazioni, consultare:

  • Usa un Active Directory che risiede nell'account amministratore delegato:

    Se prevedi di abilitare l'amministratore delegato di IAM Identity Center e utilizzare Active Directory come fonte di identità IAM, puoi utilizzare un connettore AD esistente oAWS Managed Microsoft ADcartella impostata inAWSdirectory che risiede nell'account amministratore delegato.

    Se decidi di cambiare l'origine di IAM Identity Center da qualsiasi altra fonte ad Active Directory o da Active Directory a qualsiasi altra fonte, la directory deve risiedere (essere di proprietà) nell'account membro amministratore delegato di IAM Identity Center, se esistente; in caso contrario, deve trovarsi nell'account di gestione.

AWS Organizations

Il tuoAccount AWSdeve essere gestito daAWS Organizations. Se non hai creato un'organizzazione, non devi farlo. Quando abiliti IAM Identity Center, sceglierai se avereAWScrea un'organizzazione per te.

Se hai già configuratoAWS Organizations, assicurati che tutte le funzionalità siano abilitate. Per ulteriori informazioni, consulta la sezione Abilitazione di tutte le caratteristiche nell'organizzazione nella Guida per l'utente di AWS Organizations.

Per abilitare IAM Identity Center, devi accedere alAWS Management Consoleutilizzando le tue credenzialiAWS Organizationsaccount di gestione. Non puoi abilitare IAM Identity Center se hai effettuato l'accesso con le credenziali di unAWS Organizationsaccount membro. Per ulteriori informazioni, vedereCreare e gestire unAWSOrganizzazionenelAWS OrganizationsGuida per l'utente.

Ruoli IAM

Se hai già configurato i ruoli IAM nel tuoAccount AWS, ti consigliamo di verificare se il tuo account si avvicina alla quota per i ruoli IAM. Per ulteriori informazioni, vedereQuote degli oggetti IAM.

Se ti stai avvicinando alla quota, valuta la possibilità di richiedere un aumento della quota. Altrimenti, potresti riscontrare problemi con IAM Identity Center quando fornisci set di autorizzazioni agli account che hanno superato la quota di ruoli IAM. Per informazioni su come richiedere un aumento della quota, consultaRichiesta di aumento della quotanelGuida per l'utente di Service Quotas.

Firewall e gateway Web sicuri di nuova generazione

Se si filtra l'accesso a determinatiAWSdomini o endpoint URL utilizzando una soluzione di filtraggio dei contenuti Web come NGFW o SWG, è necessario aggiungere i seguenti domini o endpoint URL agli elenchi consentiti della soluzione di filtraggio dei contenuti Web.

Domini DNS specifici

  • *.awsapps.com (http://awsapps.com/)

  • *.accedi.aws

Endpoint URL specifici

  • https://[la tua rubrica].awsapps.com/start

  • https://[la tua rubrica].awsapps.com/login

  • https://[la tua regione].signin.aws/platform/login