本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM身份中心的账户实例
使用 Ident IAM ity Center 的账户实例,您可以部署受支持的 AWS 托管应用程序和OIDC基于客户托管的应用程序。账户实例支持在单个账户中隔离部署应用程序 AWS 账户,利用 I IAM dentity Center 员工身份和访问门户功能。
账户实例绑定到单个 AWS 账户 和仅用于管理同一账户中受支持应用程序的用户和群组访问权限以及 AWS 区域。 每个账户仅限使用一个实例 AWS 账户。 您可以通过以下任一方式创建账户实例:
-
中的会员账户 AWS Organizations.
一款独立版 AWS 账户 那不是由管理的 AWS Organizations.
成员账户的可用性限制
您可以在中部署 Identity C IAM enter 的账户实例 AWS Organizations 成员账户,无论IAM身份中心的组织实例是否已存在于 AWS 组织。
以下条件之一必须为真:
您的 Identity C IAM enter 中没有组织实例 AWS 组织。
你的 Ident IAM ity Center 有一个组织实例 AWS 组织和实例管理员已允许成员账户创建 Ident IAM ity Center 的账户实例(适用于 2023 年 11 月 15 日之后创建的组织实例)。
-
你的 Ident IAM ity Center 有一个组织实例 AWS 组织和实例管理员手动启用了按组织中的成员账户创建账户实例(适用于在 2023 年 11 月 15 日之前创建的组织实例)。有关说明,请参阅 在 Ident IAM ity Center 控制台中启用账户实例创建。
满足前述条件之一后,以下所有条件都必须为真:
您的管理员尚未创建阻止成员账户创建账户实例的服务控制策略。
无论如何,你在同一个账户中还没有 IAM Identity Center 实例 AWS 区域.
你正在工作 AWS 区域 那里有IAM身份中心。有关区域的更多信息,请参阅 AWS IAM Identity Center 地区可用性。
何时使用账户实例
在大多数情况下,建议使用组织实例。仅当符合以下任何一种情况时,才应使用账户实例:
你想对支持的软件进行临时试用 AWS 托管应用程序,以确定该应用程序是否适合您的业务需求。
你没有计划在整个组织中采用 IAM Identity Center,但你想支持一个或多个 AWS 托管应用程序。
你有一个 Ident IAM ity Center 的组织实例,但你想部署一个受支持的 AWS 将托管应用程序分配给一组独立的用户,这些用户与您的组织实例中的用户不同。
重要
如果您计划使用 Ident IAM ity Center 来支持多个账户中的应用程序,请创建一个组织实例,不要使用账户实例。
账户实例注意事项
账户实例专为特殊用例而设计,提供组织实例的部分功能。创建账户实例之前,请考虑以下事项:
账户实例不支持权限集,因此不支持访问权限 AWS 账户.
您无法将账户实例转换为组织实例。
您无法将账户实例合并到组织实例中。
仅选择AWS 托管应用程序支持账户实例。
将账户实例用于仅在单个账户中使用应用程序的孤立用户,并在所使用应用程序的生命周期内使用。
附加到账户实例的应用程序必须始终附加到该账户实例,直到您删除该应用程序及其资源为止。
账户实例必须保留在 AWS 账户 它是在哪里创建的。
AWS 支持账户实例的托管应用程序
查看AWS 托管应用程序以了解哪个 AWS 托管应用程序支持 Identity C IAM enter 的账户实例。使用您的账户实例来验证创建账户实例的可用性 AWS 托管应用程序。
