快速入门:设置 IAM 身份中心以测试 Amazon 托管应用程序 - Amazon IAM Identity Center
先决条件 设置组织实例以测试 Amazon 托管应用程序 设置账户实例以测试 Amazon 托管应用程序
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

快速入门:设置 IAM 身份中心以测试 Amazon 托管应用程序

如果您的管理员尚未向您提供访问 IAM Identity Center 的权限,则可以使用本主题中的步骤设置 IAM Identity Center 来测试 Amazon 托管应用程序。您将学习如何启用 IAM Identity Center、直接在 IAM Identity Center 中创建用户,以及如何将该用户分配给 Amazon 托管应用程序。

本主题提供了有关如何通过以下任一方式启用 IAM Identity Center 的快速入门步骤:

  • 使用 Amazon Organizations — 如果您选择此选项,则会创建 IAM Identity Center 的组织实例

  • 仅在您的具体情况下 Amazon Web Services 账户— 如果您选择此选项,则会创建 IAM Identity Center 的账户实例

有关这些实例类型的信息,请参阅IAM Identity Center 的组织和账户实例

先决条件

启用 IAM Identity Center 之前,请确认以下内容:

  • 你有一个 Amazon Web Services 账户 — 如果没有,请参阅《Amazon 账户管理参考指南》 Amazon Web Services 账户中的 “入门”。

  • Amazon 托管应用程序可与 IAM Identity Center 配合使用 — 查看列表Amazon 可与 IAM Identity Center 搭配使用的托管应用程序以确认您要测试的 Amazon 托管应用程序可与 IAM Identity Center 配合使用。

  • 您已查看区域注意事项 — 确保启用 IAM Identity Center 的 Amazon Web Services 区域 位置支持您要测试的 Amazon 托管应用程序。有关更多信息,请参阅 Amazon 托管应用程序的文档。

    注意

    您必须在计划启用 IAM Identity Center 的同一区域部署 Amazon 托管应用程序。

设置 IAM Identity Center 的组织实例来测试 Amazon 托管应用程序

注意

本主题介绍如何使用启用 IAM 身份中心 Amazon Organizations,这是启用 IAM 身份中心的推荐方法。

确认您的权限

要启用 IAM Identity Center Amazon Organizations,您必须通过以下任何方式登录 Amazon 管理控制台:

  • 在启用 IAM 身份中心 Amazon Web Services 账户 的地方拥有管理权限的用户 Amazon Organizations。

  • root 用户(除非不存在其他管理用户,否则不建议使用)。

    重要

    根用户有权访问该账户中的所有 Amazon 服务和资源。作为安全最佳实践,除非您没有其他凭证,否则不要使用您账户的根凭证访问 Amazon 资源。这些凭证可提供不受限的账户访问且难以撤销。

第 1 步:使用启用 IAM Identit Amazon Organizations

  1. 执行以下任一操作以登录 Amazon Web Services Management Console。

    • 新用户 Amazon (根用户):通过选择根用户并输入您的 Amazon Web Services 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。

    • 已经在独立使用 Amazon Amazon Web Services 账户 (IAM 凭证):使用具有管理权限的 IAM 凭证登录。

  2. 在 Amazon 管理控制台主页上,选择 IAM Identity Center 服务或导航到 I AM Identity Center 控制台

  3. 选择启用,然后使用启用 IAM 身份中心 Amazon Organizations。执行此操作时,您正在创建 IAM Identity Center 的组织实例

第 2 步:在 IAM Identity Center 创建管理用户

此过程介绍了如何直接在内置的 Identity Center 目录中创建用户。此目录未连接到您的管理员可能用来管理员工用户的任何其他目录。在 IAM Identity Center 中创建用户后,您需要为此用户指定新的证书。当您以该用户身份登录以测试您的 Amazon 托管应用程序时,您将使用新的凭据登录,而不是使用任何用于访问公司资源的现有凭据登录。

注意

我们建议您仅将此方法用于测试的用户创建。

  1. 在 IAM Identity Center 控制台的导航窗格中,选择用户,然后选择添加用户

  2. 按照控制台中的指导添加用户。继续向该用户发送包含密码设置说明的电子邮件,并确保您指定了可以访问的电子邮件地址。

  3. 在导航窗格中,选择 Amazon Web Services 账户,选中您帐户旁的复选框,然后选择分配用户或组

  4. 选择 “用户” 选项卡,选中刚刚添加的用户旁边的复选框,然后选择 “下一步”。

  5. 选择 “创建权限集”,然后按照控制台中的指导创建AdministratorAccess预定义的权限集。

  6. 完成后,新的权限集会出现在列表中。关闭浏览器窗口中的 “权限集” 选项卡,返回到 “分配用户和组” 选项卡,然后选择 “创建权限集” 旁边的刷新图标。

  7. 在 “分配用户和用户组” 浏览器选项卡上,新的权限集出现在列表中。选中权限集名称旁边的复选框,选择 “下一步”,然后选择 “提交”。

  8. 注销 Console。

第 3 步:以管理用户身份登录到 Amazon Web Services 访问门户

Amazon Web Services 访问门户是一个 Web 门户,可让您创建的用户访问 Amazon 管理控制台。在登录 Amazon Web Services 访问门户之前,您必须接受加入 IAM Identity Center 的邀请并激活您的用户证书。

  1. 请查看您的电子邮件以获取主题行加入 Amazon IAM 身份中心的邀请

  2. 选择 “接受邀请”,然后按照注册页面上的指导为您的用户设置新密码、登录和注册 MFA 设备。

  3. 注册 MFA 设备后, Amazon Web Services 访问门户打开。

  4. 在 Amazon Web Services 访问门户中,选择您的, Amazon Web Services 账户 然后选择AdministratorAccess。随后您将被重定向至 Amazon 管理控制台。

第 4 步:配置 Amazon 托管应用程序以使用 IAM Identity Center

  1. 登录 Amazon 管理控制台后,打开计划使用的 Amazon 托管应用程序的控制台。

  2. 按照控制台中的指导将 Amazon 托管应用程序配置为使用 IAM Identity Center。在此过程中,您可以将创建的用户分配给应用程序。

设置 IAM Identity Center 账户实例以测试 Amazon 托管应用程序

注意

IAM Identity Center 账户实例将您的部署限制为单个 Amazon Web Services 账户。您必须在与要测试的 Amazon 应用程序 Amazon Web Services 区域 相同的情况下启用此实例。

确认您的应用程序

所有与 IAM 身份中心配合使用的 Amazon 托管应用程序均可与 IAM 身份中心的组织实例一起使用。但是,其中只有部分应用程序可以与 IAM Identity Center 的账户实例一起使用。查看清单Amazon 可与 IAM Identity Center 搭配使用的托管应用程序.

第 1 步。启用 IAM Identity Center 账户实例

  1. 执行以下任一操作以登录 Amazon Web Services Management Console。

    • 新用户 Amazon (根用户):通过选择根用户并输入您的 Amazon Web Services 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。

    • 已经在独立使用 Amazon Amazon Web Services 账户 (IAM 凭证):使用具有管理权限的 IAM 凭证登录。

  2. 在 Amazon 管理控制台主页上,选择 IAM Identity Center 服务或导航到 I AM Identity Center 控制台

  3. 请选择启用

  4. 在 “启用 IAM 身份中心 Amazon Organizations” 页面上,选择启用 IAM 身份中心的账户实例

  5. 在 “启用 IAM Identity Center 的账户实例” 页面上,查看信息,并可选择添加要与此账户实例关联的标签。然后选择 Enable

第 2 步:将在 IAM Identity Center

此过程介绍了如何直接在内置的 Identity Center 目录中创建用户。此目录未连接到您的管理员可能用来管理员工用户的任何其他目录。在 IAM Identity Center 中创建用户后,您需要为此用户指定新的证书。当您以该用户身份登录以测试您的 Amazon 托管应用程序时,您将使用新的凭据登录。新的证书将不允许您访问其他公司资源。

注意

我们建议您仅将此方法用于测试的用户创建。

  1. 在 IAM Identity Center 控制台的导航窗格中,选择用户,然后选择添加用户

  2. 按照控制台中的指导添加用户。继续向该用户发送包含密码设置说明的电子邮件,并确保您指定了可以访问的电子邮件地址。

  3. 注销 Console。

第 3 步:以 IAM Identity Center 用户的身份登录 Amazon Web Services 访问门户

Amazon Web Services 访问门户是一个 Web 门户,可让您创建的用户访问 Amazon 管理控制台。在登录 Amazon Web Services 访问门户之前,您必须接受加入 IAM Identity Center 的邀请并激活您的用户证书。

  1. 请查看您的电子邮件以获取主题行加入 Amazon IAM 身份中心的邀请

  2. 选择 “接受邀请”,然后按照注册页面上的指导为您的用户设置新密码、登录和注册 MFA 设备。

  3. 注册 MFA 设备后, Amazon Web Services 访问门户打开。当应用程序可供您使用时,您可以在 “应用程序” 选项卡下找到它们。

    注意

    Amazon 支持账户实例的应用程序允许用户无需额外权限即可登录应用程序。因此,“帐户” 选项卡将保持为空。

第 4 步:配置 Amazon 托管应用程序以使用 IAM Identity Center

  1. 登录 Amazon 管理控制台后,打开计划使用的 Amazon 托管应用程序的控制台。

  2. 按照控制台中的指导将 Amazon 托管应用程序配置为使用 IAM Identity Center。在此过程中,您可以将创建的用户分配给应用程序。