可設定的 AD 同步運作方式

IAM Identity Center 使用以下程序重新整理身分存放區中的 AD 型身分資料。

建立

將 Active Directory 中自我管理的目錄或管理的 AWS Managed Microsoft AD 目錄連接到 AWS Directory Service IAM Identity Center 之後，您可以明確設定要同步到 IAM Identity Center 身分存放區的 Active Directory 使用者和群組。您選擇的身分將每三小時同步到 IAM Identity Center 身分存放區一次。根據您的目錄大小，同步程序可能需要更長的時間。

屬於其他群組（稱為巢狀群組或子群組) 的群組也會寫入身分存放區。當您對 Active Directory 中包含巢狀群組的群組進行指派時，套用指派的方式取決於您使用 AD 同步還是可設定的 AD 同步。如需詳細資訊，請參閱Making assignments to nested groups in Active Directory。

您只能在新使用者或群組同步到 IAM Identity Center 身分存放區之後，將存取權指派給新使用者或群組。

更新

身分IAM中心身分存放區中的身分資料會定期從 Active Directory 中的來源目錄中讀取資料，以保持最新狀態。 IAM依預設，身分中心會在同步週期中每小時同步來自 Active Directory 的資料。根據 Active Directory 的大小，資料可能需要 30 分鐘到 2 小時才能同步到 IAM Identity Center。

位於同步範圍的使用者和群組物件及其成員資格會在 IAM Identity Center 中建立或更新，以對應至 Active Directory 中來源目錄中的對應物件。對於使用者屬性，在 IAM Identity Center 主控台的存取控制屬性區段中列出的屬性子集只會在 IAM Identity Center 中更新。您在 Active Directory 中進行的任何屬性更新可能需要一個同步週期，才能反映在 IAM Identity Center 中。

您也可以更新同步到 IAM Identity Center 身分存放區中的使用者和群組子集。您可以選擇將新使用者或群組新增至此子集，或將其移除。您新增的任何身分都會在下次排定的同步時同步。您從子集移除的身分將停止在 IAM Identity Center 身分存放區中更新。任何未同步超過 28 天的使用者，將在 IAM Identity Center 身分存放區中停用。對應的使用者物件將在下一個同步週期期間自動在 IAM Identity Center 身分存放區中停用，除非它們屬於另一個群組，而該群組仍屬於同步範圍的一部分。

刪除

從 Active Directory 中的來源目錄中刪除對應的使用者或群組物件時，會從 IAM Identity Center 身分存放區刪除使用者和群組。或者，您可以使用 IAM Identity Center 主控台，從 Identity Center IAM 身分存放區明確刪除使用者物件。如果您使用 IAM Identity Center 主控台，您還必須從同步範圍中移除使用者，以確保他們不會在下一個同步週期中重新同步回 IAM Identity Center。

您也可以隨時暫停和重新啟動同步。如果您暫停同步超過 28 天，您的所有使用者都將停用。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

IAM Identity Center 可設定的 AD 同步

第一次 Active Directory 到 IAM Identity Center 同步設定