可設定 AD 同步的運作方式

IAM身分識別中心會使用下列程序，重新整理身分識別存放區中的 AD 型身分識別資料。

建立

在您連接活動目錄或您的自我管理目錄後 AWS Managed Microsoft AD 由管理的目錄 AWS Directory Service 至IAM身分識別中心，您可以明確設定要同步至IAM身分識別中心身分識別存放區的 Active Directory 使用者和群組。您選擇的身分會每三個小時左右同步處理至身分識別中心IAM身分存放區。視目錄大小而定，同步處理程序可能會花費較長的時間。

身為其他群組 (稱為巢狀群組或子群組) 成員的群組也會寫入識別身分存放區。當您指派給 Active Directory 中包含巢狀群組的群組時，套用指派的方式取決於您使用 AD 同步還是可設定的 AD 同步。如需詳細資訊，請參閱Making assignments to nested groups in Active Directory。

您只能在新使用者或群組同步至 IAM Identity Center 識別身分存放區後，將存取權指派給新使用者或群組。

更新

識別中心身分識別存放區中的IAM身分識別資料會定期讀取 Active Directory 中的來源目錄中的資料，以保持最新狀態。IAM身分識別中心預設會在同步週期中每小時同步處理 Active Directory 中的資料。根據您的作用中目錄的大小，資料可能需要 30 分鐘到 2 小時才能同步到IAM身分識別中心。

在 IAM Identity Center 中建立或更新位於同步範圍內的使用者和群組物件及其成員資格，以對應至 Active Directory 中來源目錄中的對應物件。對於使用者屬性，僅在 IAM Identity Center 主控台的 [用於存取控制的屬性] 區段中列出的屬性子集會在 IAM Identity Center 中更新。對於您在 Active Directory 中進行的任何屬性更新，以反映在IAM身分識別中心中，可能需要一個同步週期。

您也可以更新同步至 IAM Identity Center 識別身分存放區中的使用者和群組子集。您可以選擇將新使用者或群組新增至此子集，或將其移除。您新增的任何身分識別會在下次排定的同步處理時同步處理。您從子集移除的身分識別將停止在身分識別中心IAM身分存放區中更新。任何未同步處理超過 28 天的使用者都會在IAM身分識別中心身分識別存放區中停用。對應的使用者物件將在下一個同步週期期間在 Identity Center 識別身分存放區中自動停用，除非它們是另一個仍屬於同步範圍的群組的一部分。IAM

刪除

從 Active Directory 中的來源目錄中IAM刪除對應的使用者或群組物件時，會從識別中心識別身分存放區中刪除使用者和群組。或者，您可以使用身分識別中心主控台，從IAM身分識別中心識別身分存放區明確刪除使用者物件。IAM如果您使用 IAM Identity Center 主控台，也必須從同步範圍移除使用者，以確保他們在下一個同步週期中不會重新同步回 IAM Identity Center。

您也可以隨時暫停並重新啟動同步處理。如果您暫停同步處理超過 28 天，則會停用所有使用者。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

IAM身分識別中心設定 AD 同步

設定和管理您的同步範圍