本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM 身分中心指南
AWS Control Tower 建議您使用 AWS Identity and Access Management (IAM) 來調節對 的存取 AWS 帳戶。不過,您可以選擇 AWS Control Tower 是否為您設定 IAM Identity Center、您是否以最符合業務需求的方式為自己設定 IAM Identity Center,還是選擇其他帳戶存取方法。
注意
SSO 是技術產業用來表示單一登入 的縮寫。一般而言, SSO 是工作階段和使用者身分驗證服務。它允許某人使用一組登入憑證來存取許多應用程式。參考 中單一登入功能時 AWS,我們指的是名為 AWS 的服務AWS Identity and Access Management,簡稱為 IAM或 IAM Identity Center 。
根據預設,AWSControl Tower 會為您的登陸區域設定 AWS IAM Identity Center,以符合使用多個帳戶整理 AWS 環境中定義的最佳實務指引。大多數客戶都會選擇預設值。有時需要替代的存取方法,才能在特定產業或國家/地區,或在無法使用 Identity Center AWS 區域 的情況下 AWS IAM遵循法規。
選擇選項
從主控台,您可以選擇在登陸區域設定程序中自我管理 IAM Identity Center,而不是允許 AWS Control Tower 為您設定。稍後,您可以隨時在登陸區域設定頁面上修改登陸區域設定並更新登陸區域,以選擇變更此選項。
若要停止 AWS IAM AWS Control Tower 中的 Identity Center,或開始使用 AWS IAM Identity Center
-
導覽至登陸區域設定頁面
-
選取組態索引標籤
-
然後選擇適當的選項按鈕,以變更 Identity Center AWS IAM的選擇。
在您選擇自行管理 AWS IAM Identity Center 作為 IdP 之後,AWSControl Tower 只會建立管理 AWS Control Tower 所需的角色和政策,例如 AWSControlTowerAdmin和 AWSControlTowerAdminPolicy。對於自我管理的登陸區域,AWSControl Tower 不再為特定客戶用途建立IAM角色和群組,而不是在登陸區域設定程序期間,或在 Account Factory 的帳戶佈建期間。
注意
如果您從 AWS Control Tower 登陸區域移除 AWS IAM Identity Center,則不會移除 AWS Control Tower 建立的使用者、群組和許可集。建議您移除這些資源。
具有替代身分提供者 (IdPs) 的帳戶工廠客戶,例如 Azure AD、Ping 或 Okta,可以遵循 AWS IAM身分中心程序連接至外部身分提供者並加入其 IdP 您可以隨時透過修改登陸區域設定,返回讓 AWS Control Tower 產生您的分組和角色。
-
如需 AWS Control Tower 如何根據您的身分來源與 IAM Identity Center 搭配使用的特定資訊,請參閱本使用者指南入門頁面的啟動前檢查一節中的 AWS IAM Identity Center 客戶注意事項。
-
如需 AWS Control Tower 行為如何與 IAM Identity Center 和不同身分來源互動的詳細資訊,請參閱 IAM Identity Center 使用者指南 中的變更身分來源的考量事項。
-
如需使用 AWS Control Tower 和 IAM Identity Center 的詳細資訊使用 AWS IAM 身分中心和 AWS Control Tower,請參閱 。
