本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
正在启用 AWS IAM Identity Center
完成以下步骤以登录 AWS Management Console 并启用IAM身份中心的组织实例。
-
执行以下任一操作登录 AWS Management Console.
-
新手 AWS (root 用户)— 以账户所有者的身份登录,方法是选择 Root 用户并输入你的 AWS 账户 电子邮件地址。在下一页上,输入您的密码。
-
已经在使用了 AWS (IAM凭据)-使用具有管理权限的IAM凭据登录。
-
-
打开IAM身份中心控制台
。 -
在 “启用IAM身份中心” 下,选择 “启用方式” AWS Organizations.
-
(可选)添加要与此组织实例关联的标签。
-
(可选)配置委托管理。
注意
如果您正在使用多帐户环境,我们建议您配置委托管理。通过委托管理,您可以限制需要访问管理账户的人数 AWS Organizations。 有关更多信息,请参阅委派管理。
重要
默认情况下,已启用创建 Ident IAMity Center 账户实例的功能。Ident IAM ity Center 的账户实例包括组织实例可用的部分功能。您可以使用服务控制策略,控制用户是否可以访问此功能。
是否需要更新防火墙和网关?
如果您将访问权限筛选为特定 AWS 域或URL终端使用下一代防火墙 (NGFW) 或安全 Web 网关 (SWG) 等网络内容过滤解决方案,必须将以下域或URL端点添加到您的 Web 内容过滤解决方案许可名单中。这样做可以让你访问你的 AWS 访问门户。
[Directory ID or alias]
.awsapps.com*.aws.dev
*.awsstatic.com
*.console.aws.a2z.com
oidc.
[Region]
.amazonaws.com*.sso.amazonaws.com
*.sso.
[Region]
.amazonaws.com*.sso-portal.
[Region]
.amazonaws.com[Region]
.signin.aws[Region]
.signin.aws.amazon.com.rproxy.goskope.comsignin.aws.amazon.com
*.cloudfront.net
opfcaptcha-prod.s3.amazonaws.com
将域名和URL终端节点列入许可名单的注意事项
了解其他域名许可名单的影响 AWS 访问门户。
-
要访问 AWS 账户, AWS Management Console,以及您的 IAM Identity Center 控制台 AWS 访问门户,您必须将其他域列入许可名单。请参阅《故障排除》中的 AWS Management Console 入门指南,查看以下列表 AWS Management Console 域。
要访问 AWS 来自您的托管应用程序 AWS 访问门户,您必须将其各自的域列入许可名单。有关指导,请参阅相应的服务文档。
-
这些许可名单包括 AWS 服务的支持。如果您使用外部软件,例如外部软件 IdPs(例如,Okta 以及 Microsoft Entra ID),你需要在许可名单中加入他们的域名。
现在,您可以配置IAM身份中心了。启用 Ident IAM ity Center 后,它会自动配置身份中心目录作为您的默认身份源,这是开始使用 Ident IAM ity Center 的最快方式。有关说明,请参阅 使用默认的IAM身份中心目录配置用户访问权限。
如果您想详细了解 Ident IAM ity Center 如何与组织、身份源和IAM角色协作,请参阅以下主题。