本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM身份中心指南
注意
SSO是技术行业中用来表示单点登录的缩写。一般而言,SSO是一种会话和用户身份验证服务。它允许某人使用一组登录凭据访问多个应用程序。在提及中的单点登录功能时 AWS,我们指的是名为、缩写为 AWS Identity and Access Management“IAM或 Ident IAMity Center” 的 AWS 服务。
AWSControl Tower 建议您使用 AWS Identity and Access Management (IAM) 来控制对您的访问权限 AWS 账户。但是,您可以选择 Cont AWS rol Tower 是否为您设置 Ident IAM ity Center,是否以最有效地满足您的业务需求的方式为自己设置 Ident IAM ity Center,或者是否选择其他帐户访问方法。
默认情况下,Cont AWS rol Tower 会根据使用多个账户组织 AWS 环境中定义的最佳实践指南,为您的着陆区设置 Ident AWS IAM ity Center。大多数客户选择默认值。有时需要其他访问方法,以满足特定行业或国家/地区的监管要求,或者在无法使用 AWS IAM身份中心 AWS 区域 的地方。
选择一个选项
在控制台中,您可以选择在着陆区设置过程中自行管理 Identity Center,而不必允许 Cont AWS rol Tower 为您设置IAM身份中心。以后,您可以随时选择更改此选择,方法是修改着陆区设置并在 “着陆区设置” 页面上更新您的着陆区。
在 Cont AWS rol Tower 中停用 Ident AWS IAM ity Center,或者开始使用 AWS IAM身份中心
-
导航至 landing zone 设置页面
-
选择 “配置” 选项卡
-
然后选择相应的单选按钮,更改您对 Identity C AWS IAM enter 的选择。
在您选择以 IdP AWS IAM AWS 身份自行管理身份中心后,Control Tower 将仅创建管理控制AWS塔所需的角色和策略,例如AWSControlTowerAdmin和。AWSControlTowerAdminPolicy对于自行管理的着陆区,Contro AWS l Tower 不再为客户特定用途创建IAM角色和分组,不在着陆区设置过程中,也不会在使用 Account Factory 配置账户期间。
注意
如果您从 Contro AWS l Tower 着陆区移除 Ident AWS IAM ity Center,则不会移除 Cont AWS rol Tower 创建的用户、群组和权限集。我们建议您移除这些资源。
拥有替代身份提供者 (IdPs)(例如 Azure AD、Ping 或 Okta)的 Account Factory 客户可以按照 AWS IAM身份中心流程连接到外部身份提供者并加入他们的 IdP。通过修改着陆区设置,您可以随时恢复让 Contro AWS l Tower 生成分组和角色的状态。
-
有关 Cont AWS rol Tower 如何根据您的IAM身份来源与 Identity Center 配合使用的具体信息,请参阅本用户指南入门页面的启动前检查部分中的 AWS IAM Identity Center 客户注意事项。
-
有关 Cont AWS rol Tower 行为如何与 Ident IAM ity Center 和不同身份源交互的更多信息,请参阅《身份中心用户指南》中的 “更改IAM身份源的注意事项”。
-
有关使用 与 AWS IAM 身份中心和 AWS Control Tower 合作 Cont AWS rol Tower 和 Ident IAM ity Center 的更多信息,请参阅。
