本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟用 AWS IAM Identity Center
請完成下列步驟以登入 AWS Management Console 並啟用IAM身分識別中心的組織執行個體。
-
請執行下列任一項作業,以登入 AWS Management Console.
-
新到 AWS (root 使用者) — 以帳戶擁有者身分登入,方法是選擇 Root 使用者並輸入您的 AWS 帳戶 電子郵件地址。在下一頁中,輸入您的密碼。
-
已在使用 AWS (IAM認證) — 使用具有管理權限的IAM認證登入。
-
-
開啟IAM身分識別中心主控台
。 -
在 [啟用IAM身分識別中心] 下方,選擇 [ AWS Organizations.
-
選擇性新增您要與此組織執行個體建立關聯的標籤。
-
選擇性設定委派管理。
注意
如果您使用的是多帳戶環境,建議您設定委派管理。透過委派管理,您可以限制需要存取管理帳戶的人數 AWS Organizations。 如需詳細資訊,請參閱委派管理。
重要
依預設,會啟用建立IAM身分識別中心帳戶執行個體的功能。IAMIdentity Center 的帳戶執行個體包含可供組織執行個體使用的功能子集。您可以使用服務控制策略來控制使用者是否可以存取此功能。
您是否需要更新防火牆和閘道?
如果您篩選特定的存取權 AWS 網域或URL端點:使用網路內容過濾解決方案 (例如新一代防火牆 (NGFW) 或 Secure Web Gateway (SWG),您必須將下列網域或URL端點新增至您的網頁內容過濾解決方案允許清單。這樣做可以讓您訪問 AWS 存取入口網站。
[Directory ID or alias].awsapps.com*.aws.dev*.awsstatic.com*.console.aws.a2z.comoidc.[Region].amazonaws.com*.sso.amazonaws.com*.sso.[Region].amazonaws.com*.sso-portal.[Region].amazonaws.com[Region].signin.aws[Region].signin.aws.amazon.com.rproxy.goskope.comsignin.aws.amazon.com*.cloudfront.net.rproxy.goskope.comopfcaptcha-prod.s3.amazonaws.com
允許列出網域和URL端點的考量
了解允許列出域名的影響 AWS 存取入口網站。
-
若要存取 AWS 帳戶,該 AWS Management Console,以及您的IAM身分識別中心主控台 AWS 訪問門戶,您必須允許列出其他域。請參閱中的疑難排解 AWS Management Console 入門指南的清單 AWS Management Console 網域。
若要存取 AWS 您的受管理應用程式 AWS 訪問門戶,您必須允許列出其各自的域。如需指引,請參閱相應的服務文件。
-
這些允許清單涵蓋 AWS 服務。如果您使用外部軟體,例如外部軟體 IdPs (例如 Okta 以及 Microsoft Entra ID),您需要在允許清單中包含其網域。
您現在已準備好設定IAM身分識別中心。當您啟用IAM身分識別中心時,系統會自動將身分識別中心目錄設定為預設身分識別來源,這是開始使用IAM身分識別中心的最快方式。如需說明,請參閱 使用預設 IAM Identity Center 目錄設定使用者存取權。
如果您想要深入了解 IAM Identity Center 如何與 Organizations、身分識別來源和IAM角色搭配使用,請參閱下列主題。
