本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM Identity Center 的帳戶執行個體
透過 IAM Identity Center 的帳戶執行個體,您可以部署支援的 AWS 受管應用程式和 OIDC型客戶受管應用程式。帳戶執行個體支援在單一 中隔離部署應用程式 AWS 帳戶,利用 IAM Identity Center 人力資源身分和存取入口網站功能。
帳戶執行個體繫結至單一 AWS 帳戶 ,且僅用於管理相同帳戶和 中支援應用程式的使用者和群組存取權 AWS 區域。每個 限制一個帳戶執行個體 AWS 帳戶。您可以從下列其中一項建立帳戶執行個體:
-
中的成員帳戶 AWS Organizations。
-
不受 管理的獨立 AWS 帳戶 AWS Organizations。
成員帳戶的可用性限制
無論 IAM Identity Center 的組織執行個體是否已存在於 AWS 組織中,您都可以在 AWS Organizations 成員帳戶中部署 IAM Identity Center 的帳戶執行個體。
下列其中一個條件必須是 true:
-
您的組織中沒有 IAM Identity Center AWS 的組織執行個體。
-
組織中有一個 IAM Identity Center 的組織執行個體, AWS 而執行個體管理員已啟用成員帳戶來建立 IAM Identity Center 的帳戶執行個體 (適用於 2023 年 11 月 15 日之後建立的組織執行個體)。
-
您的 AWS 組織中有 IAM Identity Center 的組織執行個體,而執行個體管理員會手動啟用由組織中成員帳戶建立帳戶執行個體 (適用於 2023 年 11 月 15 日之前建立的組織執行個體)。如需說明,請參閱 在 IAM Identity Center 主控台中啟用帳戶執行個體建立。
符合上述其中一個條件後,下列所有條件都必須為 true:
-
您的管理員尚未建立服務控制政策,以防止成員帳戶建立帳戶執行個體。
-
無論 為何,您在此相同帳戶中還沒有 IAM Identity Center 的執行個體 AWS 區域。
-
您正在可使用 IAM Identity Center AWS 區域 的 中工作。如需區域的相關資訊,請參閱 AWS IAM Identity Center 區域可用性。
何時使用帳戶執行個體
在大多數情況下,建議使用組織執行個體。只有在下列其中一個案例適用時,才應使用帳戶執行個體:
-
您想要執行受支援 AWS 受管應用程式的暫時試用,以判斷應用程式是否符合您的業務需求。
-
您沒有計劃在整個組織中採用 IAM Identity Center,但您想要支援一或多個 AWS 受管應用程式。
-
您有 IAM Identity Center 的組織執行個體,但您想要將支援的 AWS 受管應用程式部署到與組織執行個體中使用者不同的隔離使用者集。
-
您無法控制您營運所在的 AWS 組織。例如,第三方會控制管理您 AWS 的組織 AWS 帳戶。
重要
如果您計劃使用 IAM Identity Center 支援多個帳戶中的應用程式,請建立組織執行個體,請勿使用帳戶執行個體。
帳戶執行個體考量事項
帳戶執行個體是專為特殊使用案例所設計,提供組織執行個體可用的功能子集。在建立帳戶執行個體之前,請考慮下列事項:
-
帳戶執行個體不支援許可集,因此不支援 的存取 AWS 帳戶。
-
您無法將帳戶執行個體轉換為組織執行個體。
-
您無法將帳戶執行個體合併至組織執行個體。
-
僅選取受AWS 管應用程式支援帳戶執行個體。
-
將帳戶執行個體用於隔離的使用者,這些使用者只會在單一帳戶中使用應用程式,並在使用的應用程式的生命週期內使用。
-
連接到帳戶執行個體的應用程式必須保持連接到帳戶執行個體,直到您刪除應用程式及其資源為止。
-
帳戶執行個體必須保留在其建立 AWS 帳戶 所在的 中。
AWS 支援帳戶執行個體的受管應用程式
請參閱 AWS 受管應用程式 以了解哪些 AWS 受管應用程式支援 IAM Identity Center 的帳戶執行個體。使用受 AWS 管應用程式驗證帳戶執行個體建立的可用性。
