可信身份传播的先决条件和注意事项

已部署 IAM Identity Center 并预置了用户和组

要使用可信身份传播，您必须启用 IAM Identity Center，并预置用户和组。有关信息，请参阅 IAM Identity Center 中的常见任务入门。

推荐使用组织实例 - 我们建议您使用在 AWS Organizationsons 管理账户中启用的 IAM Identity Center 组织实例。如果您计划使用可信身份传播使用户能够访问同一组织内不同 AWS 账户 的 AWS 服务和相关资源，您可以将 IAM Identity Center 实例的管理委派给成员账户。

如果您计划使用 IAM Identity Center 的单一账户实例，则您希望用户通过可信身份传播访问的所有 AWS 服务和资源都必须位于同一个 AWS 账户 中，或者位于启用了 IAM Identity Center 的组织的同一个成员账户中。有关更多信息，请参阅 IAM Identity Center 的账户实例。

对于 AWS 托管的应用程序：连接到 IAM Identity Center

要使用可信身份传播，AWS 托管的应用程序必须与 IAM Identity Center 集成。

不要为 AWS 托管的应用程序修改“需要分配”设置

AWS 托管的应用程序拥有一项默认的设置配置，用于确定是否需要对用户和组进行分配。我们建议您不要修改此项设置。即使您配置了允许用户访问特定资源的细粒度权限，修改需要分配设置也可能会导致意外行为，包括中断用户对这些资源的访问。

不需要多账户权限（权限集）

可信身份传播不需要您设置多账户权限（权限集）。您可以启用 IAM Identity Center，仅将其用于可信身份传播。