Orientações sobre o Centro de Identidade do IAM
O AWS Control Tower recomenda que você use o AWS Identity and Access Management (IAM) para regular o acesso às Contas da AWS. No entanto, você tem a opção de escolher se o AWS Control Tower configura o Centro de Identidade do IAM para você, se você configura o Centro de Identidade do IAM por conta própria, de uma forma que atenda às suas necessidades de negócios com mais eficiência ou se deseja selecionar outro método para acessar a conta.
nota
SSO é uma abreviatura usada no setor de tecnologia para indicar login único. Em termos gerais, o SSO é um serviço de autenticação de sessão e usuário. Ele permite que alguém use um conjunto de credenciais de login para acessar várias aplicações. Ao mencionar o recurso de login único na AWS, estamos nos referindo ao serviço da AWS chamado AWS Identity and Access Management e abreviado como IAM ou Centro de Identidade do IAM.
Por padrão, o AWS Control Tower configura o Centro de Identidade do AWS IAM para a zona de pouso, de acordo com a orientação das práticas recomendadas definidas em Organizing your AWS environment using multiple accounts. A maioria dos clientes escolhe o padrão. Às vezes, métodos alternativos de acesso são necessários para conformidade regulatória em setores ou países específicos ou em Regiões da AWS onde o Centro de Identidade do AWS IAM não está disponível.
Escolher uma opção
No console, você pode optar por autogerenciar o Centro de Identidade do IAM durante o processo de configuração da zona de pouso, em vez de permitir que o AWS Control Tower o configure para você. A qualquer momento, você pode optar por alterar essa seleção, modificando as configurações de zona inicial e atualizando-a na página Configurações de zona inicial.
Como desabilitar o AWS Centro de Identidade do IAM no AWS Control Tower ou para começar a usar o Centro de Identidade do AWS IAM
-
Acesse a página Configurações de zona inicial.
-
Selecione a guia Configurações.
-
Depois, escolha o botão de opção apropriado para alterar sua seleção para o Centro de Identidade do AWS IAM.
Depois de escolher autogerenciar o Centro de Identidade do AWS IAM como seu IdP, o AWS Control Tower cria somente os perfis e as políticas necessárias para gerenciar o AWS Control Tower, como AWSControlTowerAdmin e AWSControlTowerAdminPolicy. Para zonas de pouso que se autogerenciam, o AWS Control Tower não cria mais perfis e agrupamentos do IAM para uso específico do cliente: nem durante o processo de configuração da zona de pouso nem durante o provisionamento da conta com o Account Factory.
nota
Se você remover o Centro de Identidade do AWS IAM da zona de pouso do AWS Control Tower, os usuários, grupos e conjuntos de permissões criados pelo AWS Control Tower não serão removidos. Recomendamos que você remova esses recursos.
Clientes do Account Factory com provedores de identidade (IdPs) alternativos, como Azure AD, Ping ou Okta, podem seguir o processo do Centro de Identidade do AWS IAM para se conectar a um provedor de identidades externo e integrar seu IdP. Você pode voltar a fazer com que o AWS Control Tower gere seus agrupamentos e perfis a qualquer momento, modificando as configurações de zona inicial.
-
Consulte informações específicas sobre como o AWS Control Tower funciona com o Centro de Identidade do IAM com base na sua fonte de identidades em Considerações sobre clientes do AWS IAM Identity Center na seção Verificações de pré-lançamento da página de Conceitos básicos deste Guia do usuário.
-
Consulte mais informações sobre como o comportamento do AWS Control Tower interage com o Centro de Identidade do IAM e diferentes fontes de identidades em Considerations for Changing Your Identity Source no Guia do usuário do Centro de Identidade do IAM.
-
Consulte mais informações sobre como trabalhar com o AWS Control Tower e o Centro de Identidade do IAM em Trabalhar com o Centro de Identidade do AWS IAM e o AWS Control Tower.
