As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
IAMOrientação do Identity Center
AWSA Control Tower recomenda que você use AWS Identity and Access Management (IAM) para regular o acesso ao seu Contas da AWS. No entanto, você tem a opção de escolher se o AWS Control Tower configura o IAM Identity Center para você, se você configura o IAM Identity Center para você mesmo, de uma forma que atenda às suas necessidades comerciais com mais eficiência, ou se deseja selecionar outro método para acessar a conta.
nota
SSOé uma abreviatura usada no setor de tecnologia para indicar login único. Em termos gerais, SSO é um serviço de autenticação de sessão e usuário. Ele permite que alguém use um conjunto de credenciais de login para acessar vários aplicativos. Ao nos referirmos ao recurso de login único em AWS, estamos nos referindo ao AWS serviço chamado AWS Identity and Access Managemente abreviado como IAMIdentity Center. IAM
Por padrão, o AWS Control Tower configura o AWS IAM Identity Center para sua landing zone, de acordo com as diretrizes de melhores práticas definidas em Organizando seu AWS ambiente usando várias contas. A maioria dos clientes escolhe o padrão. Às vezes, métodos alternativos de acesso são necessários para conformidade regulatória em setores ou países específicos ou Regiões da AWS onde o AWS IAM Identity Center não está disponível.
Escolhendo uma opção
No console, você pode optar por autogerenciar o IAM Identity Center durante o processo de configuração da landing zone, em vez de permitir que a AWS Control Tower o configure para você. A qualquer momento, você pode optar por alterar essa seleção, modificando as configurações da zona de pouso e atualizando sua zona de pouso na página de configurações da zona de pouso.
Para descontinuar o AWS IAM Identity Center no AWS Control Tower ou para começar a usar o AWS IAM Identity Center
-
Navegue até a página de configurações do landing zone
-
Selecione a guia Configurações
-
Em seguida, escolha o botão de rádio apropriado para alterar sua seleção para o AWS IAM Identity Center.
Depois de optar por autogerenciar o AWS IAM Identity Center como seu IdPAWS, o Control Tower cria somente as funções e políticas necessárias para gerenciar a Control AWS Tower, como e. AWSControlTowerAdmin AWSControlTowerAdminPolicy Para zonas de pouso que se autogerenciam, a AWS Control Tower não cria mais IAM funções e agrupamentos para uso específico do cliente, nem durante o processo de configuração da zona de pouso, nem durante o provisionamento da conta com o Account Factory.
nota
Se você remover o AWS IAM Identity Center da sua landing zone da AWS Control Tower, os usuários, grupos e conjuntos de permissões criados pela AWS Control Tower não serão removidos. Recomendamos que você remova esses recursos.
Clientes do Account Factory com provedores de identidade alternativos (IdPs), como Azure AD, Ping ou Okta, podem seguir o processo do AWS IAM Identity Center para se conectar a um provedor de identidade externo e integrar seu IdP. Você pode voltar a fazer com que o AWS Control Tower gere seus agrupamentos e funções a qualquer momento, modificando as configurações da landing zone.
-
Para obter informações específicas sobre como o AWS Control Tower funciona com o IAM Identity Center com base em sua fonte de identidade, consulte Considerações para AWS IAM Identity Center clientes na seção Verificações de pré-lançamento da página de introdução deste Guia do usuário.
-
Para obter informações adicionais sobre como o comportamento do AWS Control Tower interage com o IAM Identity Center e com diferentes fontes de identidade, consulte Considerações para alterar sua fonte de identidade no Guia do usuário do IAM Identity Center.
-
Consulte Trabalhando com o AWS IAM Identity Center e o AWS Control Tower para obter mais informações sobre como trabalhar com o AWS Control Tower e o IAM Identity Center.
