IAM 身分識別中心考量 - AWS 設定
作用中目錄或外部 IdPAWS OrganizationsIAM 角色新世代防火牆和安全的 Web 閘道

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM 身分識別中心考量

下列主題提供針對特定環境設定 IAM 身分中心的指引。在繼續執行之前,請先瞭解適用於您環境的指引第 2 部分:在 IAM 身分中心建立管理使用者

作用中目錄或外部 IdP

如果您已經在 Active Directory 或外部 IdP 中管理使用者和群組,建議您在啟用 IAM 身分中心並選擇身分識別來源時考慮連線此身分識別來源。在預設 Identity Center 目錄中建立任何使用者和群組之前執行此動作,可協助您避免稍後變更身分識別來源時所需的其他組態。

如果您想要使用 Active Directory 做為身分識別來源,您的組態必須符合下列先決條件:

  • 如果您正在使用AWS Managed Microsoft AD,您必須在同一個中啟用 IAM 身分中心AWS 區域你在哪裡AWS Managed Microsoft AD目錄已設置。IAM 身分識別中心會將指派資料儲存在與目錄相同的區域中。若要管理 IAM 身分中心,您可能需要切換至設定 IAM 身分中心的區域。另外,請注意AWS訪問門戶使用與您的目錄相同的訪問 URL。

  • 使用存放在您的管理帳戶中的活動目錄:

    您必須擁有現有的 AD 連接器,或AWS Managed Microsoft AD目錄設定於AWS Directory Service,並且它必須駐留在您的AWS Organizations管理帳戶。您只能連接一個 AD 連接器或一個AWS Managed Microsoft AD在一個時間。如果您需要支援多個網域或樹系,請使用AWS Managed Microsoft AD。如需詳細資訊,請參閱:

  • 使用駐留在委託管理員帳戶中的活動目錄:

    如果您打算啟用 IAM 身分中心委派管理員,並使用 Active Directory 做為您的 IAM 身分識別來源,您可以使用現有的 AD 連接器或AWS Managed Microsoft AD目錄設定於AWS位於委派管理員帳戶中的目錄。

    如果您決定將 IAM 身分中心來源從任何其他來源變更為 Active Directory,或將其從 Active Directory 變更為任何其他來源,則該目錄必須位於 (由) IAM 身分中心委派管理員成員帳戶 (如果存在);否則,該目錄必須位於管理帳戶中。

AWS Organizations

您的AWS 帳戶必須由以下人員管理AWS Organizations。如果您尚未設定組織,則不必這麼做。啟用 IAM 身分中心時,您將選擇是否要AWS為您創建一個組織。

如果您已設定AWS Organizations」,請確定已啟用所有功能。如需詳細資訊,請參閱 AWS Organizations 使用者指南中的啟用組織中的所有功能

若要啟用 IAM 身分中心,您必須登入AWS Management Console通過使用您的憑據AWS Organizations管理帳戶。使用來自的登入資料登入時,無法啟用 IAM 身分中心AWS Organizations會員帳戶。如需詳細資訊,請參閱建立和管理AWS組織AWS Organizations使用者指南

IAM 角色

如果您已在AWS 帳戶,我們建議您檢查您的帳戶是否接近 IAM 角色的配額。如需詳細資訊,請參閱IAM 物件配額

如果您接近配額,請考慮要求增加配額。否則,當您佈建權限集到超過 IAM 角色配額的帳戶時,您可能會遇到 IAM 身分中心的問題。如需如何要求提高配額的相關資訊,請參閱要求增加配額服務配額使用指南

新世代防火牆和安全的 Web 閘道

如果您篩選特定的存取權AWS網域或 URL 端點使用網頁內容過濾解決方案 (例如 NGFW 或 SWG),您必須將下列網域或 URL 端點新增至您的網頁內容過濾解決方案允許清單。

特定的 DNS 網域

  • *.aws.com (http://awsapps.com/)

  • * 登入

特定網址端點

  • HTTPS:[您的目錄].awsapp.com /開始

  • HTTPS:[您的目錄]. aws.com /登錄

  • HTTPS:[您所在地區]. 登錄.aw/平台/登錄