IAM Identity Center 可設定的 AD 同步

AD 同步 – 當您使用 IAM Identity Center 主控台或相關指派API動作為新使用者和群組進行指派時， IAM Identity Center 會直接搜尋網域控制器中指定的使用者或群組、完成指派，然後定期將使用者或群組中繼資料同步到 IAM Identity Center。

可設定的 AD 同步 – IAM Identity Center 不會直接搜尋您的網域控制器，以尋找使用者和群組。反之，您必須先指定要同步的使用者和群組清單。您可以採用下列其中一種方式來設定此清單，也稱為同步範圍，取決於您是否擁有已同步至 IAM Identity Center 的使用者和群組，或是您使用可設定的 AD 同步第一次同步的新使用者和群組。

AD 同步 – 當您在 Active Directory 中指派包含巢狀群組的群組時，只有群組的直接成員可以存取帳戶。例如，如果您將存取權指派給群組 A，而群組 B 是群組 A 的成員，則只有群組 A 的直接成員可以存取帳戶。B 群組的成員不會繼承存取權。

可設定的 AD 同步 – 使用可設定的 AD 同步，對 Active Directory 中包含巢狀群組的群組進行指派，可能會增加可存取 AWS 帳戶 或存取應用程式的使用者範圍。在此情況下，指派會套用至所有使用者，包括巢狀群組中的使用者。例如，如果您將存取權指派給群組 A，而群組 B 是群組 A 的成員，群組 B 的成員也會繼承此存取權。

AD 同步 – 指派程序會先發生。您可以將使用者和群組的存取權指派給 AWS 帳戶 和 應用程式。使用者和群組獲指派存取權後，會自動佈建 （同步到 IAM Identity Center)。如果您有自動化工作流程，這表示當您將新使用者新增至 Active Directory 時，您的自動化工作流程可以使用身分存放區ListUserAPI動作來查詢使用者的 Active Directory，然後使用IAM身分中心指派API動作來指派使用者存取權。由於使用者有 指派，該使用者會自動佈建至 IAM Identity Center。

可設定的 AD 同步 – 佈建會先發生，而且不會自動執行。相反地，您必須先將使用者和群組新增至同步範圍，以明確地將使用者和群組新增至身分存放區。如需自動化可設定 AD 同步之同步組態的建議步驟相關資訊，請參閱 自動化可設定 AD 同步的同步組態。