本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS IAM Identity Center 和 AWS Control Tower
在 AWS Control Tower 中, IAM Identity Center 允許中央雲端管理員和最終使用者管理對多個 AWS 帳戶和商業應用程式的存取。根據預設,AWSControl Tower 會使用此服務來設定和管理透過 Account Factory 建立之帳戶的存取權,除非您已選取自我管理身分和存取控制的選項。
如需選取身分提供者的詳細資訊,請參閱 IAM Identity Center 指引。
如需如何在 AWS Control Tower 中設定 IAM Identity Center 使用者和許可的簡短教學課程,您可以檢視此影片 (6:23)。若要獲得更佳的觀賞效果,請選取影片右下角的圖示,將影片放大至全螢幕。並提供字幕。
關於使用 IAM Identity Center 設定 AWS Control Tower
當您最初設定 AWS Control Tower 時,只有根使用者和具有正確許可的任何IAM使用者才能新增 IAM Identity Center 使用者。不過,在AWSAccountFactory群組中新增最終使用者之後,他們可以從 Account Factory 精靈建立新的 IAM Identity Center 使用者。如需詳細資訊,請參閱使用 Account Factory 佈建和管理帳戶。
如果您選擇建議的預設值,AWSControl Tower 會使用預先設定的目錄來設定登陸區域,協助您管理使用者身分和單一登入,以便您的使用者在帳戶之間擁有聯合存取。當您設定登陸區域時,系統會建立此預設目錄,以包含使用者群組和許可集。
注意
您可以使用 IAM Identity Center 的委派管理員功能,將 AWS IAM Identity Center 組織中的 管理委派給管理帳戶以外的帳戶。如果您選擇使用此功能,請注意具有管理群組成員資格存取權的管理員也可以管理指派給管理帳戶的群組。如需詳細資訊,請參閱此部落格文章,標題為 AWS SSO 委派管理入門
Identity IAM Center 帳戶和 AWS Control Tower 相關須知
以下是在 AWS Control Tower 中使用 IAM Identity Center 使用者帳戶時需要知道的一些好事。
-
如果您的 AWS IAM Identity Center 使用者帳戶已停用,則在嘗試在 Account Factory 中佈建新帳戶時,您會收到錯誤訊息。您可以在 IAM Identity Center 主控台中重新啟用 IAM Identity Center 使用者。
-
如果您在更新與 Account Factory 所取代之帳戶相關聯的佈建產品時指定新的 IAM Identity Center 使用者電子郵件地址,AWSControl Tower 會建立新的 IAM Identity Center 使用者帳戶。之前建立的使用者帳戶不會移除。如果您想要從 IAM Identity Center 移除先前的 AWS IAM Identity Center 使用者電子郵件地址,請參閱停用使用者。
-
AWS IAM Identity Center 已與 Azure Active Directory 整合
,您可以將現有的 Azure Active Directory 連線至 AWS Control Tower。 -
如需 AWS Control Tower 的行為如何與 AWS IAM Identity Center 和不同身分來源互動的詳細資訊,請參閱 Identity Center 文件中的 AWS IAM變更您的身分來源的考量。
