本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon IAM Identity Center 和 Amazon Organizations
Amazon IAM Identity Center 为您的所有应用程序 Amazon Web Services 账户 和云应用程序提供单点登录访问权限。它通过 Amazon Directory Service 与 Microsoft Active Directory 连接,允许该目录中的用户使用其现有的 Active Directory 用户名和密码登录个性化 Amazon 访问门户。通过 Amazon 访问门户,用户可以访问他们有权访问的所有 Amazon Web Services 账户 和云应用程序。
有关 Ident IAM ity Center 的更多信息,请参阅《Amazon IAM Identity Center 用户指南》。
使用以下信息来帮助您集 Amazon IAM Identity Center 成 Amazon Organizations。
启用集成时,创建了一个服务相关角色
以下服务相关角色会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 IAM Identity Center 在组织中的账户中执行支持的操作。
只有在禁用 Ident IAM ity Center 和 Organizations 之间的可信访问权限或从组织中删除成员帐户时,才能删除或修改此角色。
-
AWSServiceRoleForSSO
服务相关角色使用的服务委托人
上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Ident IAM ity Center 使用的服务相关角色向以下服务主体授予访问权限:
-
sso.amazonaws.com
使用IAM身份中心启用可信访问
有关启用信任访问权限所需权限的信息,请参阅允许可信访问所需的权限。
您可以使用 Amazon IAM Identity Center 控制台或控制台启用可信访问。 Amazon Organizations
重要
我们强烈建议您尽可能使用 Amazon IAM Identity Center 控制台或工具来启用与 Organizations 的集成。这允许 Amazon IAM Identity Center 执行它需要的任何配置,例如创建服务所需的资源。请仅在您无法使用 Amazon IAM Identity Center提供的工具启用集成时执行这些操作步骤。有关更多信息,请参阅此说明。
如果您使用 Amazon IAM Identity Center 控制台或工具启用可信访问,则无需完成这些步骤。
IAMIdentity Center 需要可信访问权限 Amazon Organizations 才能正常运行。设置IAM身份中心时,会启用可信访问。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》中的入门 – 步骤 1:启用 Amazon IAM Identity Center。
您可以使用 Amazon Organizations 控制台、运行 Amazon CLI 命令或在其中一个中调用API操作来启用可信访问 Amazon SDKs。
使用IAM身份中心禁用可信访问
有关禁用信任访问所需权限的信息,请参阅禁止可信访问所需的权限。
IAMIdentity Center 需要可信访问权限 Amazon Organizations 才能运行。如果您 Amazon Organizations 在使用 Ident IAM ity Center 时使用禁用可信访问,则它会因为无法访问组织而停止运行。用户无法使用 IAM Identity Center 访问账户。Ident IAM ity Center 创建的所有角色都将保留,但IAM身份中心服务无法访问它们。IAM身份中心服务相关角色仍然存在。如果您重新启用可信访问,Ident IAM ity Center 将继续像以前一样运行,而无需重新配置服务。
如果您从组织中删除帐户,Ident IAM ity Center 会自动清理所有元数据和资源,例如其服务相关角色。从组织中移除的独立账户将无法再在 Ident IAM ity Center 中使用。
您只能使用 Organizations 工具禁用可信访问。
您可以使用 Amazon Organizations 控制台、运行 Organizations Amazon CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 Amazon SDKs。
为 Ident IAM ity Center 启用委派管理员账户
当您将成员账户指定为组织的委托管理员时,该账户中的用户和角色可以对 Ident IAM ity Center 执行管理操作,否则这些操作只能由组织管理账户中的用户或角色执行。这可以帮助您将组织的管理与 Ident IAM ity Center 的管理分开。
最小权限
只有 Organizations 管理账户中的用户或角色才能将成员账户配置为组织中 Ident IAM ity Center 的委派管理员。
有关如何为 Ident IAM ity Center 启用委派管理员帐户的说明,请参阅Amazon IAM Identity Center 用户指南中的委托管理。