快速入门:设置 IAM 身份中心以测试 Amazon 托管应用程序 - Amazon IAM Identity Center
先决条件 设置组织实例以测试 Amazon 托管应用程序 设置账户实例以测试 Amazon 托管应用程序
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

快速入门:设置 IAM 身份中心以测试 Amazon 托管应用程序

如果您的管理员尚未向您提供访问 IAM Identity Center 的权限,则可以使用本主题中的步骤设置 IAM Identity Center 来测试 Amazon 托管应用程序。您将学习如何启用 IAM Identity Center、直接在 IAM Identity Center 中创建用户,以及如何将该用户分配给 Amazon 托管应用程序。

本主题提供了通过以下任意一种方式启用 IAM Identity Center 的快速入门步骤:

  • 使用 Amazon Organizations — 如果您选择此选项,则会创建 IAM Identity Center 的组织实例

  • 仅在您的具体情况下 Amazon Web Services 账户— 如果您选择此选项,则会创建 IAM Identity Center 的账户实例

有关这些实例类型的更多信息,请参阅 IAM Identity Center 的组织和账户实例

先决条件

启用 IAM Identity Center 之前,请确认以下事项:

  • 你有一个 Amazon Web Services 账户 — 如果你没有 Amazon Web Services 账户,请参阅《Amazon 账户管理参考指南》 Amazon Web Services 账户中的 “入门”。

  • Amazon 托管应用程序可与 IAM Iden tity Center 配合使用 — 查看列表Amazon 可与 IAM 身份中心配合使用的托管应用程序以确认您要测试的 Amazon 托管应用程序可与 IAM 身份中心配合使用。

  • 您已查看区域注意事项 — 确保启用 IAM Identity Center 的 Amazon Web Services 区域 位置支持您要测试的 Amazon 托管应用程序。有关更多信息,请参阅 Amazon 托管应用程序的文档。

    注意

    您必须在计划启用 IAM Identity Center 的同一区域部署 Amazon 托管应用程序。

设置 IAM 身份中心的组织实例以测试 Amazon 托管应用程序

注意

本主题介绍如何使用启用 IAM 身份中心 Amazon Organizations,这是启用 IAM 身份中心的推荐方法。

确认您的权限

要启用 IAM Identity Center Amazon Organizations,您必须通过以下任一方式登录 Amazon 管理控制台:

  • 在将通过 Amazon Organizations启用 IAM Identity Center 的 Amazon Web Services 账户 中具有管理权限的用户。

  • 根用户(除非不存在其他管理用户,否则不推荐使用)。

    重要

    root 用户有权访问账户中的所有 Amazon 服务和资源。作为安全最佳实践,除非您没有其他证书,否则请勿使用账户的根证书访问 Amazon 资源。这些凭证可提供不受限的账户访问且难以撤销。

步骤 1:使用启用 IAM 身份中心 Amazon Organizations

  1. 请执行以下一项操作,登录 Amazon Web Services 管理控制台。

    • Amazon (root 用户)新手 — 以账户所有者的身份登录,方法是选择 Root 用户并输入您的 Amazon Web Services 账户 电子邮件地址。在下一页上,输入您的密码。

    • 已使用 Amazon 独立版 Amazon Web Services 账户 (IAM 证书)— 使用具有管理权限的 IAM 凭证登录。

  2. 在 Amazon 管理控制台主页上,选择 IAM 身份中心服务或导航到 IAM 身份中心控制台

  3. 选择启用,然后使用启用 IAM 身份中心 Amazon Organizations。执行此操作时,您正在创建 IAM Identity Center 的组织实例

步骤 2:创建 IAM Identity Center 中的管理用户

此过程介绍如何直接在内置的 Identity Center 目录中创建用户。此目录未连接到管理员可能用于管理工作用户的任何其他目录。在 IAM Identity Center 中创建用户后,您需要为此用户指定新凭证。当您以该用户身份登录以测试您的 Amazon 托管应用程序时,您将使用新的凭据登录,而不是使用任何用于访问公司资源的现有凭据登录。

注意

建议您仅出于测试目的使用此方法创建用户。

  1. 在 IAM Identity Center 控制台的导航窗格中,选择用户,然后选择添加用户

  2. 请按照控制台中的指导添加用户。保持选中向该用户发送包含密码设置说明的电子邮件,并确保指定您有权访问的电子邮件地址。

  3. 在导航窗格中,选择 Amazon Web Services 账户,选中账户旁边的复选框,然后选择分配用户或群组

  4. 选择用户选项卡,选中您刚添加的用户旁边的复选框,然后选择下一步

  5. 选择创建权限集,然后按照控制台中的指导创建预定义的 AdministratorAccess 权限集。

  6. 完成后,新的权限集会显示在列表中。关闭浏览器窗口中的权限集选项卡,返回分配用户和组选项卡,然后选择创建权限集旁边的刷新图标。

  7. 分配用户和组浏览器选项卡中,新的权限集会显示在列表中。选中权限集名称旁边的复选框,选择下一步,然后选择提交

  8. 注销 Console。

步骤 3:以管理员用户身份登录 Amazon Web Services 访问门户

Amazon Web Services 访问门户是一个 Web 门户,可让您创建的用户访问 Amazon 管理控制台。在登录 Amazon Web Services 访问门户之前,您必须接受加入 IAM Identity Center 的邀请并激活用户凭证。

  1. 检查您的电子邮件,查找主题为邀请加入 Amazon IAM Identity Center 的邮件。

  2. 选择接受邀请,然后按照注册页面上的指导设置新密码、登录并为您的用户注册 MFA 设备。

  3. 注册 MFA 设备后, Amazon Web Services 访问门户打开。

  4. 在 Amazon Web Services 访问门户中,选择您的, Amazon Web Services 账户 然后选择AdministratorAccess。随后您将被重定向至 Amazon 管理控制台。

步骤 4:将 Amazon 托管应用程序配置为使用 IAM 身份中心

  1. 登录 Amazon 管理控制台后,打开计划使用的 Amazon 托管应用程序的控制台。

  2. 按照控制台中的指导将 Amazon 托管应用程序配置为使用 IAM Identity Center。在此过程中,您可以将创建的用户分配给该应用程序。

设置 IAM 身份中心的账户实例以测试 Amazon 托管应用程序

注意

IAM Identity Center 的账户实例将部署范围限定在单个 Amazon Web Services 账户内。您必须在与要测试的 Amazon 应用程序 Amazon Web Services 区域 相同的情况下启用此实例。

确认您的应用程序

所有与 IAM 身份中心配合使用的 Amazon 托管应用程序均可与 IAM 身份中心的组织实例一起使用。但是,只有其中部分应用程序可以与 IAM Identity Center 的账户实例一起使用。查看 Amazon 可与 IAM 身份中心配合使用的托管应用程序 列表。

步骤 1. 启用 IAM Identity Center 的账户实例

  1. 请执行以下一项操作,登录 Amazon Web Services 管理控制台。

    • Amazon (root 用户)新手 — 以账户所有者的身份登录,方法是选择 Root 用户并输入您的 Amazon Web Services 账户 电子邮件地址。在下一页上,输入您的密码。

    • 已使用 Amazon 独立版 Amazon Web Services 账户 (IAM 证书)— 使用具有管理权限的 IAM 凭证登录。

  2. 在 Amazon 管理控制台主页上,选择 IAM 身份中心服务或导航到 IAM 身份中心控制台

  3. 请选择启用

  4. 使用 Amazon Organizations启用 IAM Identity Center 页面上,选择启用 IAM Identity Center 的账户实例

  5. 启用 IAM Identity Center 账户实例页面上,查看信息并可选地添加要与此账户实例关联的标签。然后选择 Enable

步骤 2:在 IAM Identity Center 中创建用户

此过程介绍如何直接在内置的 Identity Center 目录中创建用户。此目录未连接到管理员可能用于管理工作用户的任何其他目录。在 IAM Identity Center 中创建用户后,您需要为此用户指定新凭证。当您以该用户身份登录以测试您的 Amazon 托管应用程序时,您将使用新的凭据登录。新凭证不允许您访问其他企业资源

注意

建议您仅出于测试目的使用此方法创建用户。

  1. 在 IAM Identity Center 控制台的导航窗格中,选择用户,然后选择添加用户

  2. 请按照控制台中的指导添加用户。保持选中向该用户发送包含密码设置说明的电子邮件,并确保指定您有权访问的电子邮件地址。

  3. 注销 Console。

步骤 3:以 IAM 身份中心用户身份登录 Amazon Web Services 访问门户

Amazon Web Services 访问门户是一个 Web 门户,可让您创建的用户访问 Amazon 管理控制台。在登录 Amazon Web Services 访问门户之前,您必须接受加入 IAM Identity Center 的邀请并激活用户凭证。

  1. 检查您的电子邮件,查找主题为邀请加入 Amazon IAM Identity Center 的邮件。

  2. 选择接受邀请,然后按照注册页面上的指导设置新密码、登录并为您的用户注册 MFA 设备。

  3. 注册 MFA 设备后, Amazon Web Services 访问门户打开。当应用程序对您可用时,您可以在应用程序选项卡下找到它们。

    注意

    Amazon 支持账户实例的应用程序允许用户无需额外权限即可登录应用程序。因此,账户选项卡将保持为空。

步骤 4:将 Amazon 托管应用程序配置为使用 IAM 身份中心

  1. 登录 Amazon 管理控制台后,打开计划使用的 Amazon 托管应用程序的控制台。

  2. 按照控制台中的指导将 Amazon 托管应用程序配置为使用 IAM Identity Center。在此过程中,您可以将创建的用户分配给该应用程序。