本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM身分中心的帳戶執行個體
使用IAM身分識別中心的帳戶執行個體,您可以部署支援的 AWS 託管應用程OIDC式和客戶管理的應用程式。帳戶執行個體支援單一應用程式的隔離部署 AWS 帳戶,利用IAM身分識別中心員工的身分識別和存取入口網站
帳戶實例綁定到單個 AWS 帳戶 並且僅用於管理相同帳戶中支援應用程式的使用者和群組存取權, AWS 區域。 每個帳戶只能使用一個實例 AWS 帳戶。 您可以從下列任一項目建立帳戶執行個體:
-
中的會員帳戶 AWS Organizations.
一個獨立的 AWS 帳戶 不是由管理 AWS Organizations.
成員帳戶的可用性限制
您可以部署IAM身分識別中心的帳戶執行個體 AWS Organizations 成員帳戶IAM身分識別中心的組織執行個體是否已存在於 AWS 組織。
必須符合下列其中一項條件:
您沒有IAM身分識別中心的組織執行個體 AWS 組織。
您的IAM身分識別中心有一個組織執行個體 AWS 組織和執行個體管理員已啟用成員帳戶來建立IAM身分識別中心的帳戶執行個體 (適用於 2023 年 11 月 15 日之後建立的組織執行個體)。
-
您的IAM身分識別中心有一個組織執行個體 AWS 組織和執行個體管理員手動啟用組織中的成員帳戶建立帳戶執行個體 (適用於 2023 年 11 月 15 日之前建立的組織實例)。如需說明,請參閱 在 IAM Identity Center 主控台中啟用帳戶執行個體建立。
符合上述其中一個條件之後,下列所有條件都必須成立:
您的管理員尚未建立可防止成員帳戶建立帳戶執行個體的服務控制政策。
無論在同一帳戶中,您都沒有IAM身分識別中心的執行個體 AWS 區域.
您正在工作 AWS 區域 IAM身分識別中心可用的地方。如需「區域」的資訊,請參閱AWS IAM Identity Center 區域可用性。
何時使用帳戶執行個體
在大多數情況下,建議使用組織實例。只有在下列其中一種情況適用時,才應使用帳戶執行個體:
您想要執行受支援的臨時試用版 AWS 託管應用程序,以確定應用程序是否適合您的業務需求。
您沒有計劃在整個組織中採用IAM身分識別中心,但您想要支援一或多個 AWS 管理應用程式。
您擁有IAM身分識別中心的組織執行個體,但想要部署支援的執行個體 AWS 受管理的應用程式是一組與組織執行個體中的使用者不同的隔離使用者。
重要
如果您打算使用 IAM Identity Center 支援多個帳戶中的應用程式,請建立組織執行個體,且不要使用帳戶執行個體。
帳戶實例考量
帳戶執行個體是專為特殊使用案例所設計,提供組織執行個體可用的功能子集。建立帳戶執行個體之前,請考慮下列事項:
帳戶執行個體不支援權限集,因此不支援存取權 AWS 帳戶.
您無法將帳戶執行個體轉換為組織執行個體。
您無法將帳戶執行個體合併至組織執行個體。
僅選擇AWS 受管應用程式支持帳戶實例。
針對隔離的使用者使用帳戶執行個體,這些使用者只會在單一帳戶中使用應用程式,並在所使用的應用程式存留
附加至帳戶執行個體的應用程式必須保持連結至帳戶執行個體,直到您刪除應用程式及其資源為止。
帳戶實例必須保留在 AWS 帳戶 它的創建位置。
AWS 支援帳戶執行個體的受管應用
請參閱AWS 受管應用程式以了解哪些 AWS 受管理的應用程式支援IAM身分識別中心的帳戶 使用您的帳戶實例創建驗證是否可用 AWS 管理應用程式。