本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AWS IAM身份中心和 Cont AWS rol Tower
在 Cont AWS rol Tower 中,Ident IAM ity Center 允许中央云管理员和最终用户管理对多个 AWS 账户和业务应用程序的访问权限。默认情况下,Cont AWS rol Tower 使用此服务来设置和管理对通过 Account Factory 创建的帐户的访问权限,除非您选择了自行管理身份和访问控制的选项。
有关身份提供者的更多信息,请参阅 IAM Identity Center 指南。
有关如何在 Cont AWS rol Tower 中设置IAM身份中心用户和权限的简短教程,您可以观看此视频 (6:23)。为了更好地观看,请选择视频右下角的图标以将其放大为全屏。可以使用字幕。
关于使用IAM身份中心设置 Cont AWS rol Tower
最初设置 Cont AWS rol Tower 时,只有根用户用户和任何具有正确权限的IAM用户才能添加 Ident IAM ity Center 用户。但是,将最终用户添加到AWSAccountFactory群组后,他们可以通过 Account Factory 向导创建新的 Ident IAM ity Center 用户。有关更多信息,请参阅 使用 Account Factory 预置和管理账户。
如果您选择推荐的默认设置,Cont AWS rol Tower 会使用预先配置的目录来设置您的着陆区,该目录可帮助您管理用户身份和单点登录,以便您的用户可以跨账户进行联合访问。设置您的登录区时,系统将创建此默认目录以包含用户组和权限集。
注意
您可以使用 Ident IAM ity Center 的委派管理员功能,将组织 AWS IAM Identity Center 中的管理委托给管理账户以外的账户。如果选择使用此功能,请注意拥有管理组成员权限的管理员也可以管理分配给管理账户的组。有关更多信息,请参阅这篇名为《AWS SSO委托管理入门》的
关于 Identity C IAM enter 账户和 Cont AWS rol Tower 的注意事项
以下是在 Cont AWS rol Tower 中使用 Ident IAM ity Center 用户帐户时需要了解的一些好处。
-
如果您的 Ident AWS IAM ity Center 用户帐户被禁用,则在尝试在 Account Factory 中配置新帐户时,您将收到一条错误消息。您可以在 Identity Center 控制台中重新启用您的IAMIAM身份中心用户。
-
如果您在更新与 Account Factor IAM y 出售的账户关联的预配置产品时指定了新的 Identity Center 用户电子邮件地址,则 Cont AWS rol Tower 会创建一个新的 Ident IAM ity Center 用户帐户。之前创建的用户账户不会被删除。如果您希望从 Ident IAM ity Center 中删除之前的 Ident AWS IAM ity Center 用户电子邮件地址,请参阅禁用用户。
-
AWS IAM身份中心已与 Azure Active Directory 集成
,你可以将现有的 Azure 活动目录连接到 Cont AWS rol Tower。 -
有关 Cont AWS rol Tower 行为如何与 Ident AWS IAM ity Center 和不同身份源交互的更多信息,请参阅 Identity Center 文档中的更改 AWS IAM身份源的注意事项。
