本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

AWS IAM Identity Center 和 AWS Organizations

AWS IAM Identity Center 為您的所有 AWS 帳戶 和雲端應用程式提供單一登入存取權。它會透過與 Microsoft Active Directory 連線， AWS Directory Service 以允許該目錄中的使用者使用其現有的 Active Directory 使用者名稱和密碼登入個人化 AWS 存取入口網站。從 AWS 存取入口網站，使用者可以存取他們有權限的所有 AWS 帳戶 和雲端應用程式。

如需 IAM Identity Center 的詳細資訊，請參閱 《AWS IAM Identity Center 使用者指南》。

請使用下列資訊來協助您整 AWS IAM Identity Center 合 AWS Organizations。

當您啟用整合時，即會建立服務連結角色。

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下服務連結角色。此角色允許 IAM Identity Center 在您組織的組織帳戶中執行支援的操作。

只有在您停用 IAM Identity Center 與 Organizations 之間的受信任存取，或者從組織中移除成員帳戶時，才能刪除或修改此角色。

服務連結角色所使用的服務委託人

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。IAM Identity Center 使用的服務連結角色會將存取權授予下列服務主體：

使用 IAM Identity Center 來啟用受信任存取

如需啟用受信任存取所需許可的資訊，請參閱啟用信任的存取所需的許可。

您可以使用 AWS IAM Identity Center 控制台或控制台啟用受信任的 AWS Organizations 存取。

IAM 身分中心需要具備可信任存取功 AWS Organizations 能的權限。當您設定 IAM Identity Center 時會啟用受信任的存取。如需詳細資訊，請參閱AWS IAM Identity Center 使用者指南中的入門 – 步驟 1：啟用 AWS IAM Identity Center。

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令或呼叫其中一個 AWS SDK 中的 API 作業來啟用受信任存取。

AWS Management Console

使用 Organizations 主控台來啟用受信任的服務存取

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 在導覽窗格中，選擇服務。

3. AWS IAM Identity Center在服務列表中選擇。

4. 選擇 Enable trusted access (啟用信任存取)。

5. 在 [啟用受信任的存取權限] 對 AWS IAM Identity Center話方塊中，輸入 enable 以確認，然後選擇 [啟用信任的存取]。

6. 如果您只是管理員 AWS Organizations，請告訴管理員 AWS IAM Identity Center ，他們現在可以使用其控制台啟用該服務 AWS Organizations。

AWS CLI, AWS API

使用 Organizations CLI/SDK 來啟用受信任服務存取

您可以使用下列 AWS CLI 命令或 API 作業來啟用受信任的服務存取：

• AWS CLI: enable-aws-service-access

  您可以執行下列命令， AWS IAM Identity Center 以啟用 Organizations 的信任服務。

  $ aws organizations enable-aws-service-access \ 
      --service-principal sso.amazonaws.com

  此命令成功後就不會產生輸出。

• AWS API：啟用 AWSServiceAccess

使用 IAM Identity Center 來停用受信任存取

如需啟用受信任的存取所需許可的資訊，請參閱停用信任的存取所需的許可。

IAM 身分中心需要受信任的存取權限 AWS Organizations 才能進行操作 如果您在使用 IAM 身分中心 AWS Organizations 時停用受信任存取，它會停止運作，因為它無法存取組織。使用者無法使用 IAM Identity Center 來存取帳戶。會保留 IAM Identity Center 建立的任何角色，但 IAM Identity Center 服務無法加以存取。會保留 IAM Identity Center 服務連結角色。如果您重新啟用受信任存取，IAM Identity Center 會繼續如之前般運作，而不需重新設定服務。

如果從您的組織移除帳戶，IAM Identity Center 自動會清理任何中繼資料和資源，例如其服務連結角色。從組織移除的獨立帳戶，不再能與 IAM Identity Center 搭配使用。

您只能使用 Organizations 工具來停用受信任的存取。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDK 中的 Organizations API 作業來停用受信任的存取。

AWS Management Console

使用 Organizations 主控台來受信停用任的服務存取

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 在導覽窗格中，選擇服務。

3. AWS IAM Identity Center在服務列表中選擇。

4. 選擇停用受信任的存取。

5. 在 [停用受信任的存取權限] 對 AWS IAM Identity Center話方塊中，輸入 [停用] 加以確認，然後選擇 [停用信任的存取]。

6. 如果您只是管理員，請告訴管理員 AWS Organizations，他們現在可以使用其主控台或工具停用該服務，無法使用該服務 AWS Organizations。 AWS IAM Identity Center

AWS CLI, AWS API

使用 Organizations CLI/SDK 來停用受信任服務存取

您可以使用下列 AWS CLI 命令或 API 作業來停用受信任的服務存取：

• AWS CLI: disable-aws-service-access

  您可以執行下列命令，將 AWS IAM Identity Center 其停用為「Organizations」的信任服務。

  $ aws organizations disable-aws-service-access \
      --service-principal sso.amazonaws.com

  此命令成功後就不會產生輸出。

• AWS API：停用 AWSServiceAccess

啟用 IAM Identity Center 的委派管理員帳戶

當您將成員帳戶指定為組織的委派管理員時，該帳戶的使用者和角色可以對 IAM Identity Center 執行管理動作，否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 IAM Identity Center 的管理分開。

如需有關如何為 IAM Identity Center 啟用委派管理員帳戶的說明，請參閱 AWS IAM Identity Center 使用者指南中的委派的管理員。