可配置 AD 同步的工作原理

IAM Identity Center 使用以下过程刷新身份存储中基于 AD 的身份数据。

创建

将 Active Directory 中的自我管理目录或由 AWS Directory Service 管理的 AWS Managed Microsoft AD 目录连接到 IAM Identity Center 后，您可以明确配置要同步到 IAM Identity Center 身份存储的 Active Directory 用户和组。您选择的身份将每三个小时左右同步到 IAM Identity Center 身份存储中。根据目录的大小，同步过程可能需要更长的时间。

作为其他组成员的组（称为嵌套组或子组）也会写入身份存储。在对 Active Directory 中包含嵌套组的组进行分配时，这些分配的应用方式取决于您使用 AD 同步还是可配置 AD 同步。有关更多信息，请参阅 Making assignments to nested groups in Active Directory。

您只能在新用户或组同步到 IAM Identity Center 身份存储后为其分配访问权限。

更新

通过定期从 Active Directory 中的源目录读取数据，IAM Identity Center 身份存储中的身份数据保持最新。IAM Identity Center 默认会在同步周期内每小时同步来自 Active Directory 的数据。根据 Active Directory 的大小，数据可能需要 30 分钟到 2 小时才能同步到 IAM Identity Center。

同步范围内的用户和组对象及其成员身份在 IAM Identity Center 中创建或更新，以映射到 Active Directory 源目录中的相应对象。对于用户属性，仅在 IAM Identity Center 控制台的访问控制属性部分中列出的属性子集会在 IAM Identity Center 中更新。您在 Active Directory 中所做的任何属性更新，可能需要一个同步周期才能反映在 IAM Identity Center 中。

您还可以更新同步到 IAM Identity Center 身份存储中的用户和组子集。您可以选择将新用户或组添加到此子集中，或将其删除。您添加的任何身份都会在下一次计划的同步时同步。您从子集中删除的身份将停止在 IAM Identity Center 身份存储中更新。超过 28 天未同步的任何用户都将在 IAM Identity Center 身份存储中被禁用。在下一个同步周期期间，相应的用户对象将在 IAM Identity Center 身份存储中自动禁用，除非它们属于仍属于同步范围的另一个组的一部分。

删除

当从 Active Directory 中的源目录中删除相应的用户或组对象时，用户和组将从 IAM Identity Center 身份存储中删除。或者，您可以使用 IAM Identity Center 控制台从 IAM Identity Center 身份存储中明确删除用户对象。如果您使用 IAM Identity Center 控制台，您还必须从同步范围中删除用户，以确保他们在下一个同步周期内不会重新同步回 IAM Identity Center。

您还可以随时暂停和恢复同步。如果您暂停同步的时间超过 28 天，则所有用户都将被禁用。