本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM Identity Center 指南
AWS Control Tower 建议您使用 AWS Identity and Access Management (IAM) 来监管对您的访问权限 AWS 账户。但是,您可以选择是否由 AWS Control Tower 为您设置 IAM Identity Center,是否由您自行设置 IAM Identity Center,以最有效地满足自己的业务需求,或者是否选择其他账户访问方法。
注意
SSO 是技术行业用来表示单点登录的简称。一般而言,SSO 是一种会话和用户身份验证服务。它允许用户使用一组登录凭证访问多个应用程序。在提及中的单点登录功能时 AWS,我们指的是名为的 AWS 服务,缩写为 AWS Identity and Access ManagementIAM 或 IAM I dent ity Center。
默认情况下,AWS Control Tower 会根据使用多个账户组织 AWS 环境中定义的最佳实践指南,为您的着陆区设置 AWS IAM 身份中心。大多数客户选择默认设置。有时需要其他访问方法,以满足特定行业或国家/地区的监管要求,或者在无法使用 AWS IAM Identity Center AWS 区域 的地方。
选择选项
在控制台中,您可以选择在登录区设置过程中自行管理 IAM Identity Center,而不是让 AWS Control Tower 为您设置。以后任何时候,您都可以通过在登录区设置页面上修改登录区设置并更新登录区来更改这一选择。
停用 AWS Control Tower 中的 IA AWS M 身份中心,或者开始使用 AWS IAM 身份中心
-
导航到登录区设置页面。
-
选择配置选项卡
-
然后选择相应的单选按钮,更改您 AWS 对 IAM 身份中心的选择。
在您选择以身份提供商的身份自行管理 AWS IAM 身份中心后,AWS Control Tower 将仅创建管理 AWS Control Tower 所需的角色和策略,例如AWSControlTowerAdmin和。AWSControlTowerAdminPolicy对于自行管理的登录区,AWS Control Tower 不再创建针对客户特定用途的 IAM 角色和分组,无论是在登录区设置过程中,还是在使用 Account Factory 预置账户期间,都是如此。
注意
如果您从 AWS Control Tower 着陆区移除 AWS IAM 身份中心,则不会删除 AWS Control Tower 创建的用户、群组和权限集。我们建议您删除这些资源。
拥有替代身份提供商 (IdPs)(例如 Azure AD、Ping 或 Okta)的 Account Factory 客户可以按照 AWS IAM 身份中心流程连接到外部身份提供商并加入他们的 IdP。通过修改登录区设置,您可以随时恢复让 AWS Control Tower 生成您的分组和角色。
-
有关 AWS Control Tower 如何根据您的身份来源与 IAM Identity Center 配合使用的具体信息,请参阅本用户指南入门页面的启动前检查部分中的 AWS IAM Identity Center 客户注意事项。
-
有关 AWS Control Tower 的行为如何与 IAM Identity Center 和不同身份来源交互的更多信息,请参阅《IAM Identity Center 用户指南》中的 Considerations for Changing Your Identity Source。
-
有关将 AWS Control Tower 与 IAM Identity Center 配合使用的更多信息,请参阅 与 AWS IAM 身份中心和 AWS Control Tower 合作。
