本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与 AWS IAM 身份中心和 AWS Control Tower 合作
在 AWS Control Tower 中,IAM 身份中心允许中央云管理员和最终用户管理对多个 AWS 账户和业务应用程序的访问权限。默认情况下,AWS Control Tower 使用此服务来设置和管理对通过 Account Factory 创建的账户的访问权限,除非您选择了自行管理身份和访问控制的选项。
有关选择身份提供者的更多信息,请参阅IAM身份中心指南。
有关如何在 AWS Control Tower 中设置 IAM 身份中心用户和权限的简短教程,您可以观看此视频 (6:23)。为了更好地观看,请选择视频右下角的图标以将其放大为全屏。可以使用字幕。
关于使用 IAM 身份中心设置 AWS Control Tower
最初设置 AWS Control Tower 时,只有根用户用户和具有正确权限的任何 IAM 用户才能添加 IAM 身份中心用户。但是,将最终用户添加到AWSAccountFactory群组后,他们可以通过 Account Factory 向导创建新的 IAM Identity Center 用户。有关更多信息,请参阅使用 Account Factory 配置和管理账户。
如果您选择推荐的默认设置,AWS Control Tower 会使用预先配置的目录来设置您的着陆区,该目录可帮助您管理用户身份和单点登录,这样您的用户就可以跨账户进行联合访问。设置 landing zone 时,会创建此默认目录以包含用户组和权限集。
注意
您可以使用 IAM I AWS IAM Identity Center dentity Center 的委托管理员功能,将组织中的管理委托给管理账户以外的账户。如果您选择使用此功能,请注意,有权管理群组成员资格的管理员也可以管理分配给管理帐户的群组。有关更多信息,请参阅这篇题为 “AWS SSO 委托管理入门” 的
关于 IAM 身份中心账户和 AWS Control Tower 的注意事项
以下是在 AWS Control Tower 中使用 IAM 身份中心用户账户时需要了解的一些好消息。
-
如果您的 AWS IAM Identity Center 用户账户被禁用,则在尝试在 Account Factory 中配置新账户时,您将收到一条错误消息。您可以在 IAM 身份中心控制台中重新启用您的 IAM 身份中心用户。
-
如果您在更新与 Account Factory 出售的账户关联的预配置产品时指定了新的 IAM Identity Center 用户电子邮件地址,AWS Control Tower 会创建一个新的 IAM 身份中心用户账户。之前创建的用户账户不会被删除。如果您希望从 IAM Identity Center 中删除之前 AWS 的 IAM 身份中心用户电子邮件地址,请参阅禁用用户。
-
AWS IAM 身份中心已与 Azure 活动目录集成
,你可以将现有的 Azure 活动目录连接到 AWS Control Tower。 -
有关 AWS Control Tower 行为如何与 AWS IAM 身份中心和不同身份源交互的更多信息,请参阅 AWS IAM 身份中心文档中的更改身份源的注意事项。
