IAM Identity Center 的账户实例 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM Identity Center 的账户实例

使用 IAM Identity Center 的账户实例,您可以部署支持的 Amazon 托管应用程序和基于 OIDC 的客户托管应用程序。账户实例利用 IAM Identity Center 员工身份和访问门户功能 Amazon Web Services 账户,支持在单个账户中隔离部署应用程序。

账户实例绑定到单个 Amazon Web Services 账户 账户,仅用于管理用户和群组对同一个账户中支持的应用程序的访问权限 Amazon Web Services 区域。每个账户仅限使用一个实例 Amazon Web Services 账户。您可以通过以下任一途径创建账户实例:

  • 中的成员帐户 Amazon Organizations。

  • 不由管理 Amazon Web Services 账户 的独立服务器 Amazon Organizations。

成员账户的可用性限制

无论组织中是否已存在 IAM Identity Center 的组织实例,您都可以在 Amazon Organizations 成员账户中部署 IAM Identity Center 的 Amazon 账户实例。

以下条件之一必须为真:

  • 您的组织中没有 IAM 身份中心的 Amazon 组织实例。

  • 您的组织中有一个 IAM Identity Center 的 Amazon 组织实例,并且实例管理员已允许成员账户创建 IAM Identity Center 的账户实例(适用于 2023 年 11 月 15 日之后创建的组织实例)。

  • 您的组织中有一个 IAM Identity Center 的 Amazon 组织实例,实例管理员手动启用了按组织中的成员账户创建账户实例(适用于 2023 年 11 月 15 日之前创建的组织实例)。有关说明,请参阅在 IAM 身份中心控制台中启用账户实例

满足上述条件之一后,以下所有条件都必须为真:

  • 您的管理员尚未创建阻止成员账户创建账户实例的服务控制策略

  • 无论如何,您在同一个账户中还没有 IAM 身份中心实例 Amazon Web Services 区域。

  • 您正在可用 IAM 身份中心 Amazon Web Services 区域 的地方工作。有关区域的更多信息,请参阅 Amazon IAM Identity Center 地区可用性

何时使用账户实例

在大多数情况下,建议使用组织实例。仅当符合以下任何一种情况时,才应使用账户实例:

  • 您想对支持的 Amazon 托管应用程序进行临时试用,以确定该应用程序是否适合您的业务需求。

  • 您没有计划在整个组织中采用 IAM Identity Center,但您希望支持一个或多个 Amazon 托管应用程序。

  • 您有一个 IAM Identity Center 的组织实例,但您想将 Amazon 受支持的托管应用程序部署到一组与组织实例中的用户不同的隔离用户。

重要

如果您计划使用 IAM Identity Center 支持多个账户中的应用程序,请创建一个组织实例,不要使用账户实例。

账户实例注意事项

账户实例专为特殊用例而设计,提供组织实例的部分功能。创建账户实例之前,请考虑以下事项:

  • 账户实例不支持权限集,因此不支持访问权限 Amazon Web Services 账户。

  • 您无法将账户实例转换为组织实例。

  • 您无法将账户实例合并到组织实例中。

  • 仅选择Amazon 托管应用程序支持账户实例。

  • 将账户实例用于仅在单个账户中使用应用程序的孤立用户,并在所使用应用程序的生命周期内使用。

  • 附加到账户实例的应用程序必须始终附加到该账户实例,直到您删除该应用程序及其资源为止。

  • 账户实例必须保留在创建 Amazon Web Services 账户 的地方。

Amazon 支持账户实例的托管应用程序

请参阅Amazon 托管应用程序以了解哪些 Amazon 托管应用程序支持 IAM Identity Center 的账户实例。使用您的 Amazon 托管应用程序验证创建账户实例的可用性。