As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
No AWS Control Tower, o IAM Identity Center permite que administradores centrais de nuvem e usuários finais gerenciem o acesso a várias AWS contas e aplicativos comerciais. Por padrão, o AWS Control Tower usa esse serviço para configurar e gerenciar o acesso às contas criadas por meio do Account Factory, a menos que você tenha selecionado a opção de autogerenciar sua identidade e controle de acesso.
Consulte mais informações sobre como selecionar um provedor de identidades em Orientações sobre o Centro de Identidade do IAM.
Para um breve tutorial sobre como configurar seus usuários e permissões do Centro de Identidade do IAM no AWS Control Tower, assista a este vídeo (6:23). Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.
Sobre a configuração do AWS Control Tower com o Centro de Identidade do IAM
Quando você configura inicialmente o AWS Control Tower, somente o usuário-raiz e todos os usuários do IAM com as permissões corretas podem adicionar usuários do Centro de Identidade do IAM. No entanto, depois que os usuários finais forem adicionados ao grupo AWSAccountFactory, eles poderão criar novos usuários do IAM Identity Center a partir do assistente Account Factory. Para obter mais informações, consulte Provisione e gerencie contas com o Account Factory.
Se você escolher o padrão recomendado, o AWS Control Tower configurará a zona de pouso com um diretório pré-configurado que ajuda você a gerenciar identidades de usuário e logon único, para que seus usuários tenham acesso federado entre contas. Quando você configura a zona de pouso, esse diretório padrão é criado para conter grupos de usuários e conjuntos de permissões.
nota
Você pode delegar a administração da AWS IAM Identity Center sua organização a uma conta diferente da conta de gerenciamento, usando o recurso de administrador delegado do IAM Identity Center. Se você optar por usar esse recurso, saiba que os administradores com acesso para gerenciar a associação ao grupo também podem gerenciar grupos atribuídos à conta de gerenciamento. Para obter mais informações, consulte esta postagem no blog, intitulada Introdução à administração delegada do AWS SSO
O que você deve saber sobre as contas do Centro de Identidade do IAM e o AWS Control Tower
Veja a seguir alguns aspectos positivos que você deve saber ao trabalhar com contas de usuários do Centro de Identidade do IAM no AWS Control Tower.
-
Se sua conta de usuário do AWS IAM Identity Center estiver desativada, você receberá uma mensagem de erro ao tentar provisionar novas contas no Account Factory. Você pode habilitar novamente o usuário do Centro de Identidade do IAM no console do Centro de Identidade do IAM.
-
Se você especificar um novo endereço de e-mail de usuário do Centro de Identidade do IAM ao atualizar o produto provisionado associado a uma conta fornecida pelo Account Factory, o AWS Control Tower criará uma conta de usuário do Centro de Identidade do IAM. A conta de usuário criada anteriormente não será removida. Se você preferir remover o endereço de e-mail anterior do usuário do Centro de Identidade do IAM do Centro de Identidade do AWS IAM, consulte Desabilitar um usuário.
-
AWS O IAM Identity Center foi integrado ao Azure Active Directory
, e você pode conectar seu Azure Active Directory existente ao AWS Control Tower. -
Para obter mais informações sobre como o comportamento do AWS Control Tower interage com o AWS IAM Identity Center e diferentes fontes de identidade, consulte Considerations for Changing Your Identity Source na documentação do AWS IAM Identity Center.
