本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用 AWS IAM Identity Center
完成以下步骤登录 AWS Management Console 并启用 IAM Identity Center 的组织实例。
-
请执行以下任一操作,登录 AWS Management Console。
-
AWS (root 用户)新手 — 选择根用户并输入您的 AWS 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。
-
已在使用 AWS (IAM 证书)— 使用具有管理权限的 IAM 凭证登录。
-
-
在启用 IAM Identity Center 下,选择与 AWS Organizations一起启用。
-
(可选)添加要与此组织实例关联的标签。
-
(可选)配置委托管理。
注意
如果您正在使用多帐户环境,我们建议您配置委托管理。通过委托管理,您可以限制 AWS Organizations中需要访问管理帐户的人数。有关更多信息,请参阅 委派管理。
重要
创建 IAM Identity Center 账户实例的功能默认已启用。IAM Identity Center 账户实例包含的功能是组织实例可用功能的一部分。您可以使用服务控制策略,控制用户是否可以访问此功能。
是否需要更新防火墙和网关?
如果您使用网络内容过滤解决方案(例如下一代防火墙 (NGFW) 或安全 Web 网关 (SWG))来过滤对特定 AWS 域或 URL 端点的访问,则必须将以下域或 URL 端点添加到您的网络内容过滤解决方案许可名单中。这样您就可以访问您的 AWS 访问门户。
AWS 访问允许名单中的门户域名
-
[Directory ID or alias].awsapps.com -
*.aws.dev -
*.awsstatic.com -
*.console.aws.a2z.com -
oidc.[Region].amazonaws.com -
*.sso.amazonaws.com -
*.sso.[Region].amazonaws.com -
*.sso-portal.[Region].amazonaws.com
AWS 登录 要列入许可名单的域名
如果您或您的组织实施 IP 或域名筛选,则可能需要将要登录的域列入许可名单。 AWS在您尝试访问 AWS的网络中必须可以访问以下域。
-
[Region].signin.aws -
[Region].signin.aws.amazon.com -
signin.aws.amazon.com -
*.cloudfront.net -
opfcaptcha-prod.s3.amazonaws.com
将域和 URL 端点列入许可列表的注意事项
了解 AWS 访问门户之外的域名许可名单的影响。
-
要从您的访问 AWS 账户门户 AWS 访问 AWS Management Console、和 IAM Identity Center 控制台,您必须将其他域列入许可名单。有关 AWS Management Console 域名列表,请参阅《AWS Management Console 入门指南》中的疑难解答。
-
要从您的访问门户 AWS 访问 AWS 托管应用程序,您必须将其各自的域列入许可名单。如需有关指导,请参阅相应服务文档。
-
这些许可名单涵盖 AWS 服务。如果您使用外部软件,例如外部软件 IdPs (例如,Okta 以及 Microsoft Entra ID),你需要在许可名单中加入他们的域名。
后续步骤
现在,您可以配置 IAM Identity Center。启用 IAM Identity Center 后,它会自动配置 IAM Identity Center 目录作为您的默认身份源,这是开始使用 IAM Identity Center 的最快方法。有关说明,请参阅 使用默认 IAM Identity Center 目录配置用户访问权限。
如果您想进一步了解 IAM Identity Center 如何与 Organizations、身份源和 IAM 角色配合使用,请参阅以下主题。
