本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM身份中心的账户实例
使用 Ident IAM ity Center 的账户实例,您可以部署支持的 Amazon 托管应用程序和OIDC基于客户的托管应用程序。账户实例利用IAM身份中心员工身份和访问门户功能 Amazon Web Services 账户,支持在单个账户中隔离部署应用程序。
账户实例绑定到单个 Amazon Web Services 账户 账户,仅用于管理用户和群组对同一个账户中支持的应用程序的访问权限 Amazon Web Services 区域。每个账户仅限使用一个实例 Amazon Web Services 账户。您可以通过以下任一途径创建账户实例:
-
中的成员帐户 Amazon Organizations。
-
不由管理 Amazon Web Services 账户 的独立服务器 Amazon Organizations。
成员账户的可用性限制
无论组织中是否已存在 Ident IAM ity Center 的组织实例,您都可以在 Amazon Organizations 成员账户中部署 Ident IAM ity Center 的 Amazon 账户实例。
必须满足以下任一条件:
-
您的组织中没有IAM身份中心的 Amazon 组织实例。
-
您的组织中有一个 Ident IAM ity Center 的 Amazon 组织实例,并且实例管理员已允许成员账户创建 Ident IAM ity Center 的账户实例(适用于 2023 年 11 月 15 日之后创建的组织实例)。
-
您的组织中有一个 Ident IAM ity Center 的 Amazon 组织实例,实例管理员手动启用了按组织中的成员账户创建账户实例(适用于 2023 年 11 月 15 日之前创建的组织实例)。有关说明,请参阅 在 Ident IAM ity Center 控制台中启用账户实例创建。
除了满足任一上述条件,还须满足以下所有条件:
-
管理员并未创建服务控制策略阻止成员账户创建账户实例。
-
无论如何,您在同一个账户中还没有IAM身份中心实例 Amazon Web Services 区域。
-
你正在IAM身份中心可用 Amazon Web Services 区域 的地方工作。有关区域的更多信息,请参阅 Amazon IAM Identity Center 区域可用性。
何时使用账户实例
在大多数情况下,建议使用组织实例。仅当符合以下任何一种情况时,才应使用账户实例:
-
您想对支持的 Amazon 托管应用程序进行临时试用,以确定该应用程序是否适合您的业务需求。
-
您没有计划在整个组织中采用 IAM Identity Center,但您希望支持一个或多个 Amazon 托管应用程序。
-
您有一个 Ident IAM ity Center 的组织实例,但您想将 Amazon 受支持的托管应用程序部署给一组独立的用户,这些用户与组织实例中的用户不同。
-
你无法控制你所在的 Amazon 组织。例如,第三方控制管理您的 Amazon 组织 Amazon Web Services 账户。
重要
如果您计划使用 Ident IAM ity Center 来支持多个账户中的应用程序,请创建一个组织实例,不要使用账户实例。
账户实例注意事项
账户实例专为特殊用例而设计,提供组织实例的部分功能。创建账户实例之前,请考虑以下事项:
-
账户实例不支持权限集,因此不支持访问权限 Amazon Web Services 账户。
-
您无法将账户实例转换为组织实例。
-
您无法将账户实例合并到组织实例中。
-
只有特定的 Amazon 托管应用程序支持账户实例。
-
将账户实例用于仅在单个账户中使用应用程序的孤立用户,并在所使用应用程序的生命周期内使用。
-
附加到账户实例的应用程序必须始终附加到该账户实例,直到您删除该应用程序及其资源为止。
-
账户实例必须保留在创建时 Amazon Web Services 账户 所在的位置。
Amazon 支持账户实例的托管应用程序
Amazon 托管应用程序要了解哪些 Amazon 托管应用程序支持 Ident IAM ity Center 的账户实例,请参阅。使用您的 Amazon 托管应用程序验证创建账户实例的可用性。