本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM Identity Center
IAM Identity Center 是亚马逊网络服务解决方案,用于将您的员工用户连接到他们所有的亚马逊网络服务托管应用程序和亚马逊网络服务账户。有权访问一个或多个账户的用户可以使用亚马逊云科技管理控制台登录亚马逊云科技访问门户并访问亚马逊云科技应用程序,或者检索临时凭证以编程方式访问亚马逊云科技应用程序。您可以连接现有的身份提供商,也可以直接在 IAM Identity Center 中创建和管理您的用户。对于现有的身份提供商,支持将来自您的身份提供商的用户和群组信息自动配置(同步)到 IAM Identity Center。
区域可用性
IAM 身份中心可在中国的以下地区使用:
-
中国(北京)区域
-
中国(宁夏)区域
功能可用性和实现差异
Amazon Web Services 在中国实施的 IAM 身份中心在以下方面具有独特性:
-
IAM Identity Center 与集成 Amazon Organizations 以管理您的 Amazon Web Services 账户的访问权限,因此,IAM 身份中心可能Amazon Organizations 存在任何差异。
-
Amazon Web Services 访问门户 URL 的网址模式为
https://start.home.awsapps.cn/directory/[IdentityStoreId]或https://start.home.awsapps.cn/directory/[CustomAlias]。您可以在 IAM 身份中心控制台的 “设置” 页面上找到此 URL。
-
您的 IAM 身份中心实例的 Amazon 资源名称 (ARN) 的模式为:
arn:aws-cn:sso:::instance/[InstanceId]您可以在 IAM 身份中心控制台的 “设置” 页面上找到此 ARN。 -
ARNs 适用于 IAM Identity Center 的权限集的模式是,
arn:aws-cn:sso:::permissionSet/[InstanceID]/[PermissionSetID]您可以在 IAM Identity Center 控制台 Amazon Web Services 账户 页面下方的权限集选项卡 ARNs 上找到这些权限。 -
该电子邮件地址
no-reply@login.awsapps.cn用于在北京和宁夏区域发送电子邮件验证、密码重置和用户邀请电子邮件。该电子邮件地址no-reply@signin.amazonaws.com.cn用于发送忘记密码的电子邮件。 -
Google Workspace(前身为 G Suite)在中国不可用。
-
Amazon 安全能力合作伙伴 CyberArk Ermetic和Okta提供的解决方案不在中国托管。其功能以及与 IAM Identity Center 的集成用于临时提升访问权限管理的目的尚未在中国的 IAM 身份中心进行测试。
-
不支持 IAM 身份中心用户单点登录亚马逊 EC2 Windows 实例。
-
IAM Identity Center 与 Amazon Web Services 应用程序集成,为这些应用程序提供单点登录和集中式身份和访问管理。亚马逊网络服务
产品页面列出了在中国可用的亚马逊网络服务应用程序。有关与 IAM 身份中心集成的详细信息,请参阅 Amazon Web Services 应用程序的中国特定用户指南。 中国不支持用户后台会话功能。
-
IAM Identity Center 文档中提及的应用程序和身份提供商是第三方。他们的实例可能位于中国境外。客户应直接向第三方提供商核实实例的位置,并且客户应确认任何跨境数据传输是否符合其在适用法律下的义务。如果客户使用这些第三方提供的服务,则由于无法控制的原因 Amazon (例如,如果第三方的服务器位于中国境外),客户可能会遇到更高的延迟,因此客户应直接与第三方提供商合作以解决延迟问题。
-
云应用程序,即外部亚马逊 Web Services 账户,目前在云应用程序目录中不可用。如果您需要为不属于同一个亚马逊组织的 Amazon Web Services 账户配置联合账户,则可以使用自定义 SAML 应用程序。有关如何在账户中设置联合身份验证的说明,请参阅 IAM 用户指南。
-
默认情况下,由光环新网运营的亚马逊网络服务中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域处于启用状态。因此,它们不需要手动启用。
-
IAM 身份中心的账户实例支持以下 Amazon Web Services 托管应用程序:
-
Amazon S3 访问权限管控
-
-
如果您使用网络内容过滤解决方案(例如下一代防火墙 (NGFW) 或安全 Web 网关 (SWG))来筛选对特定 Amazon Web Services 域的访问权限,则必须将以下域名添加到您的网络内容过滤解决方案许可名单中。这样做可以使您访问自己的 Amazon Web Services 访问门户.
-
start.home.awsapps.cn -
start.[Region].home.awsapps.cn -
oidc.[Region].amazonaws.com.cn -
*.applicationcatalog.amazonaws.com.cn -
*.sso.[Region].amazonaws.com.cn -
*.sso.amazonaws.cn -
*.sso-portal.[Region].amazonaws.com.cn -
*.sso.[Region].amazonaws.cn -
aws-access-portal-website-prod-bjs-assets.s3.cn-north-1.amazonaws.com.cn -
aws-access-portal-website-prod-zhy-assets.s3.cn-northwest-1.amazonaws.com.cn -
s3.cn-north-1.amazonaws.com.cn/awsconsole-peregrine-portal-prod-bjs-assets -
s3.cn-northwest-1.amazonaws.com.cn/awsconsole-peregrine-portal-prod-zhy-assets -
[Region].signin.amazonaws.cn -
*.cloudfront.net -
opfcaptcha-prod.s3.amazonaws.com
-
指南和参考
中国的 Amazon Web Services 用户指南有 HTML 和 PDF 版本,有中文和英文两种版本。API 参考以 HTML 和 PDF 格式提供。有些 API 参考可能仅提供英文版。目前,并非所有 API 参考在北京和宁夏区域都可用。某些 API 参考文献的链接将带您进入全球亚马逊 Web Services 网站。请注意,指南和参考资料中描述的某些特性和功能可能无法在当前的 Amazon Web Services 中国版本中提供。
关于中国亚马逊 Web Services 的一般信息
以下信息适用于在中国地区提供的所有 Amazon Web Services。
中国地区的亚马逊 Web Services 账户
要在北京和宁夏区域使用服务,您需要一个账户和每个区域的专属证书。
-
其他 Amazon 地区的账户和凭证不适用于在北京和宁夏区域运营的服务。
-
北京和宁夏区域的账户和凭证不适用于其他 Amazon 区域。
-
有关更多信息,请参阅 注册、账户和证书。
中国亚马逊 Web Services 的域名
中国 Amazon Web Services 的域名www.amazonaws.cn是。
终端节点和 Amazon 资源名称 (ARNs)
有关终端节点和 ARNs 中国的 Amazon Web Services 的信息,终端节点和 ARNs 适用于中国的 Amazon Web Services请参阅。
中国区域的可用区
-
在北京区域,有三个可用区。
-
在宁夏区域,有三个可用区。
中国亚马逊 Web Services 的一般信息
以下内容适用于在中国地区提供的所有 Amazon Web Services。有关特定 Amazon Web Services 的详细信息,请参阅本指南中的特定服务主题。
-
Amazon Identity and Access Management (IAM)
-
您可以使用
Principal策略元素授予或拒绝服务对资源的访问。 -
服务委托人值因区域而异。
-
-
免费使用套餐
-
有关中国地区的免费套餐优惠和可用性的信息,请参阅 Amazon Web Services 中国地区免费
套餐。
-
亚马逊 Web Services 控制台
中国 Amazon Web Services 的主机是中国独有的。Amazon Web Services 指南中的屏幕截图可能与您在主机上看到的屏幕截图不同。有关服务功能差别的信息,请参阅本指南中针对各项服务的主题。
代码示例
Amazon Web Services 文档可能包括非北京和 ARNs 宁夏区域特有的终端节点和代码示例。使用示例时,请确认您使用的是您所在地区的终端节点和 ARNs 终端节点。