本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 托管应用程序
<a name="awsapps"></a>

AWS IAM Identity Center 简化并简化了将员工用户连接到 Kiro 和 Amazon Quick 等 AWS 托管应用程序的任务。借助 IAM Identity Center，您可以连接现有身份提供者一次并同步目录中的用户和组，或者直接在 IAM Identity Center 中创建和管理用户。通过提供一个联合身份验证点，IAM Identity Center 将免除为每个应用程序设置联合身份验证或用户和组同步的需要，以此减少您的管理工作。您还可以大致[查看用户和组分配](howtoviewandchangepermissionset.md)。

有关与 IAM 身份中心配合使用的 AWS 应用程序表，请参阅[AWS 可与 IAM 身份中心配合使用的托管应用程序](awsapps-that-work-with-identity-center.md)。

## 控制对 AWS 托管应用程序的访问权限
<a name="awsapps-controlling-access"></a>

通过两种方式控制对 AWS 托管应用程序的访问：
+ **应用程序的初始入口** 

  IAM Identity Center 通过对应用程序的分配对此进行管理。默认情况下， AWS 托管应用程序需要分配。如果您是应用程序管理员，可以选择是否需要针对应用程序进行分配。

  如果需要分配，当用户登录 AWS 访问门户时，只有直接或通过组分配分配至应用程序的用户才能查看应用程序磁贴。

  如果不需要分配，您可以允许所有 IAM Identity Center 用户进入应用程序。在这种情况下，应用程序将管理对资源的访问权限，访问 AWS 访问门户的所有用户都可以看到该应用程序磁贴。
**重要**  
如果您是 IAM 身份中心管理员，则可以使用 IAM Identity Center 控制台删除对 AWS 托管应用程序的分配。在删除分配之前，我们建议您与应用程序管理员进行协调。如果您计划修改决定是否需要进行分配的设置，或者计划自动完成应用程序分配，也应该与应用程序管理员进行协调。
+ **对应用程序资源的访问权限**

   应用程序通过其控制的独立资源分配对此进行管理。

AWS 托管应用程序提供了一个管理用户界面，您可以使用该界面来管理对应用程序资源的访问权限。例如，Quick 管理员可以根据用户的群组成员资格为其分配访问仪表板的权限。大多数 AWS 托管应用程序还提供允许您将用户分配给应用程序的 AWS 管理控制台 体验。这些应用程序的控制台体验也许可以整合这两种功能，将用户分配功能与管理应用程序资源访问权限的能力结合起来。

## 共享身份信息
<a name="app-enablement"></a>

### 在中共享身份信息的注意事项 AWS 账户
<a name="considerations-app-enablement"></a>

IAM Identity Center 支持各种应用程序中最常用的属性。这些属性包括名字和姓氏、电话号码、电子邮件地址、住址和首选语言。请仔细考虑哪些应用程序和哪些账户可以使用这些个人身份信息。

您可以通过以下任一方式控制对此信息的访问：
+ 您可以选择仅在 AWS Organizations 管理账户中启用访问权限，也可以选择在中的所有账户中启用访问权限 AWS Organizations。
+ 或者，您可以使用服务控制策略 (SCPs) 来控制哪些应用程序可以访问哪些账户中的信息 AWS Organizations。

例如，如果您仅在 AWS Organizations 管理账户中启用访问权限，则成员账户中的应用程序将无法访问信息。但是，如果您在所有账户中启用访问权限，则可以使用 SCPs 禁止除您想要允许的应用程序之外的所有应用程序进行访问。

服务控制策略是的一项功能 AWS Organizations。有关附加 SCP 的说明，请参阅 *AWS Organizations 用户指南*中的[附加和分离服务控制策略](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。

### 配置 IAM Identity Center 以共享身份信息
<a name="configure-app-enablement"></a>

IAM Identity Center 提供了身份存储，其中包含用户和组属性，但不包括登录凭证。您可以使用以下任一方法来更新您的 IAM Identity Center 身份存储中的用户和组：
+ 使用 IAM Identity Center 身份存储作为您的主身份源。如果您选择此方法，则可以从 IAM Identity Center 控制台或 AWS Command Line Interface (AWS CLI) 中管理您的用户、他们的登录凭证和群组。有关更多信息，请参阅 [管理 Identity Center 目录中的用户](manage-your-identity-source-sso.md)。
+ 将来自以下任一身份源的用户和组预调配（同步）到您的 IAM Identity Center 身份存储：
  + **Active Directory** - 有关更多信息，请参阅 [Microsoft AD 目录](manage-your-identity-source-ad.md)。
  + **外部身份提供商** - 有关更多信息，请参阅 [外部身份提供者](manage-your-identity-source-idp.md)。

  如果您选择这种预调配方法，则可以继续从您的身份源中管理您的用户和组，这些更改将同步到 IAM Identity Center 身份存储。

无论您选择哪种身份来源，IAM Identity Center 都可以与 AWS 托管应用程序共享用户和群组信息。这样，您就可以将身份源连接到 IAM Identity Center 一次，然后与 AWS Cloud中的多个应用程序共享身份信息。这样就无需为每个应用程序单独设置联合身份验证和身份预调配。此共享功能还可以让用户轻松访问不同 AWS 账户中的许多应用程序。

## 限制 AWS 托管应用程序的使用
<a name="awsapps-constrain"></a>

首次启用 IAM Identity Center 时，它将作为身份源供您 AWS Organizations中所有账户的 AWS 托管应用程序使用。要限制应用程序，必须实施服务控制策略 (SCPs)。 SCPs 是其中的 AWS Organizations 一项功能，可用于集中控制组织中的身份（用户和角色）可以拥有的最大权限。您可以使用 SCPs 来阻止访问 IAM Identity Center 用户和群组信息，并阻止应用程序启动，但指定账户除外。有关更多信息，请参阅《*AWS Organizations 用户指南》中的[服务控制策略 (SCPs)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html)。*

以下 SCP 示例将阻止对 IAM Identity Center 用户和组信息进行访问，并阻止除指定账户（111111111111 和 222222222222）以外的账户启动应用程序。

```
{
  "Sid": "DenyIdCExceptInDesignatedAWSAccounts",
  "Effect": "Deny",
  "Action": [
    "identitystore:*",
    "sso:*",
    "sso-directory:*",
    "sso-oauth:*"
  ],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "aws:PrincipalAccount": [
        "111111111111",
        "222222222222"
      ]
    }
  }
}
```