本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM Identity Center 的账户实例
使用 IAM Identity Center 账户实例,您可以部署受支持的 Amazon 托管应用程序和基于 OIDC 的客户托管应用程序。通过利用 IAM Identity Center 员工身份和访问门户功能 Amazon Web Services 账户,账户实例支持在单个中孤立部署应用程序。
账户实例绑定到单 Amazon Web Services 账户 个,仅用于管理同一账户和中受支持应用程序的用户和组访问权限 Amazon Web Services 区域。每个仅限一个账户实例 Amazon Web Services 账户。您可以通过以下任一途径创建账户实例:中的成员账户 Amazon Organizations 或非由管理 Amazon Web Services 账户 的独立 Amazon Organizations。
有关启用 IAM Identity Center 账户实例的说明,请参阅启用 IAM Identity Center 实例并选择账户选项卡。
何时使用账户实例
在大多数情况下,建议使用组织实例。仅当符合以下任何一种情况时,才使用账户实例:
-
您想临时试用一个受支持的 Amazon 托管应用程序,以确定该应用程序是否适合您的业务需求。
-
您不打算在整个组织中采用 IAM Identity Center,但希望支持一个或多个 Amazon 托管的应用程序。
-
您拥有一个 IAM Identity Center 组织实例,但希望向一组独立的用户部署受支持的 Amazon 托管应用程序,这些用户需要与组织实例中的用户区分开来。
-
你无法控制你所在的 Amazon 组织。例如,第三方控制管理您的 Amazon 组织 Amazon Web Services 账户。
重要
如果您计划使用 IAM Identity Center 支持多个账户中的应用程序,请使用组织实例。账户实例不支持此用例。
Amazon 支持账户实例的托管应用程序
请参阅Amazon 可与 IAM Identity Center 搭配使用的托管应用程序,了解哪些 Amazon 托管应用程序支持 IAM Identity Center 的账户实例。请验证您的 Amazon 托管应用程序是否支持创建账户实例。
成员账户的可用性限制
要在 Amazon Organizations 成员账户中部署 IAM Identity Center 的账户实例,必须满足以下条件之一:
-
组织中没有 IAM Identity Center 的组织实例。
-
组织中有一个 IAM Identity Center 的组织实例,并且实例管理员允许创建 IAM Identity Center 的账户实例(适用于 2023 年 11 月 15 日之后创建的组织实例)。
-
组织中有一个 IAM Identity Center 的组织实例,并且实例管理员已手动允许组织中的成员账户创建 IAM Identity Center 的账户实例(适用于 2023 年 11 月 15 日之后创建的组织实例)。有关说明,请参阅允许在成员账户中创建账户实例。
除了满足任一上述条件,还须满足以下所有条件:
-
管理员并未创建服务控制策略阻止成员账户创建账户实例。
-
无论在哪个,您在该相同的账户并无 IAM Identity Center 实例 Amazon Web Services 区域。
-
您正在 IAM Iden Amazon Web Services 区域 tity Center 可用的中工作。有关区域的更多信息,请参阅 IAM 身份中心区域数据存储和操作。
账户实例注意事项
账户实例专为特殊用例而设计,提供组织实例的部分功能。创建账户实例之前,请考虑以下事项:
-
账户实例不支持权限集,因此不支持对的访问 Amazon Web Services 账户。
-
您无法将账户实例转换为或合并到组织实例。
-
只有特定的 Amazon 托管应用程序支持账户实例。
-
将账户实例用于仅在单个账户中使用应用程序的孤立用户,并在所使用应用程序的生命周期内使用。
-
附加到账户实例的应用程序必须始终附加到该账户实例,直到您删除该应用程序及其资源为止。
-
账户实例必须保留在创建该 Amazon Web Services 账户 实例的中。