本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 快速入门:设置 IAM 身份中心以测试 Amazon 托管应用程序
如果您的管理员尚未向您提供访问 IAM Identity Center 的权限,则可以使用本主题中的步骤设置 IAM Identity Center 来测试 Amazon 托管应用程序。您将学习如何启用 IAM Identity Center、直接在 IAM Identity Center 中创建用户,以及如何将该用户分配给 Amazon 托管应用程序。
本主题提供了通过以下任意一种方式启用 IAM Identity Center 的快速入门步骤:
+ **使用 Amazon Organizations** — 如果您选择此选项,则会创建 IAM Identity Center 的*组织实例*。
+ **仅在您的具体**情况下 Amazon Web Services 账户— 如果您选择此选项,则会创建 IAM Identity Center 的*账户实例*。
有关这些实例类型的更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
## 先决条件
启用 IAM Identity Center 之前,请确认以下事项:
+ **你有一个 Amazon Web Services 账户** — 如果你没有 Amazon Web Services 账户,请参阅《*Amazon 账户管理参考指南》 Amazon Web Services 账户中的 “[入门](https://docs.amazonaws.cn//accounts/latest/reference/getting-started.html)”。*
+ ** Amazon 托管应用程序可与 IAM Iden** tity Center 配合使用 — 查看列表[Amazon 可与 IAM 身份中心配合使用的托管应用程序](awsapps-that-work-with-identity-center.md)以确认您要测试的 Amazon 托管应用程序可与 IAM 身份中心配合使用。
+ **您已查看区域注意事项** — 确保启用 IAM Identity Center 的 Amazon Web Services 区域 位置支持您要测试的 Amazon 托管应用程序。有关更多信息,请参阅 Amazon 托管应用程序的文档。
**注意**
您必须在计划启用 IAM Identity Center 的同一区域部署 Amazon 托管应用程序。
## 设置 IAM 身份中心的组织实例以测试 Amazon 托管应用程序
**注意**
本主题介绍如何使用启用 IAM 身份中心 Amazon Organizations,这是启用 IAM 身份中心的推荐方法。
**确认您的权限**
要启用 IAM Identity Center Amazon Organizations,您必须通过以下任一方式登录 Amazon 管理控制台:
+ 在将通过 Amazon Organizations启用 IAM Identity Center 的 Amazon Web Services 账户 中具有管理权限的用户。
+ 根用户(除非不存在其他管理用户,否则不推荐使用)。
**重要**
root 用户有权访问账户中的所有 Amazon 服务和资源。作为安全最佳实践,除非您没有其他证书,否则请勿使用账户的根证书访问 Amazon 资源。这些凭证可提供不受限的账户访问且难以撤销。
### 步骤 1:使用启用 IAM 身份中心 Amazon Organizations
1. 请执行以下一项操作,登录 Amazon Web Services 管理控制台。
+ ** Amazon (root 用户)新**手 — 选择 R **oot 用户**并输入您的 Amazon Web Services 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。
+ **已使用 Amazon 独立版 Amazon Web Services 账户 (IAM 证书)**— 使用具有管理权限的 IAM 凭证登录。
1. 在 Amazon 管理控制台主页上,选择 IAM 身份中心服务或导航到 [IAM 身份中心控制台](https://console.amazonaws.cn/singlesignon)。
1. 选择**启用**,然后使用启用 IAM 身份中心 Amazon Organizations。执行此操作时,您正在创建 IAM Identity Center 的[组织实例](organization-instances-identity-center.md)。
### 步骤 2:创建 IAM Identity Center 中的管理用户
此过程介绍如何直接在内置的 Identity Center 目录中创建用户。此目录未连接到管理员可能用于管理工作用户的任何其他目录。在 IAM Identity Center 中创建用户后,您需要为此用户指定新凭证。当您以该用户身份登录以测试您的 Amazon 托管应用程序时,您将使用新凭据登录,而不是使用任何用于访问公司资源的现有凭据登录。
**注意**
建议您仅出于测试目的使用此方法创建用户。
1. 在 IAM Identity Center 控制台的导航窗格中,选择**用户**,然后选择**添加用户**。
1. 请按照控制台中的指导添加用户。保持选中**向该用户发送包含密码设置说明的电子邮件**,并确保指定您有权访问的电子邮件地址。
1. 在导航窗格中,选择 Amazon Web Services 账户,选中账户旁边的复选框,然后选择**分配用户或群组**。
1. 选择**用户**选项卡,选中您刚添加的用户旁边的复选框,然后选择**下一步**。
1. 选择**创建权限集**,然后按照控制台中的指导创建预定义的 `AdministratorAccess` 权限集。
1. 完成后,新的权限集会显示在列表中。关闭浏览器窗口中的**权限集**选项卡,返回**分配用户和组**选项卡,然后选择**创建权限集**旁边的刷新图标。
1. 在**分配用户和组**浏览器选项卡中,新的权限集会显示在列表中。选中权限集名称旁边的复选框,选择**下一步**,然后选择**提交**。
1. 注销 Console。
### 步骤 3:以管理员用户身份登录 Amazon Web Services 访问门户
Amazon Web Services 访问门户是一个 Web 门户,可让您创建的用户访问 Amazon 管理控制台。在登录 Amazon Web Services 访问门户之前,您必须接受加入 IAM Identity Center 的邀请并激活用户凭证。
1. 检查您的电子邮件,查找主题为**邀请加入 Amazon IAM Identity Center** 的邮件。
1. 选择**接受邀请**,然后按照注册页面上的指导设置新密码、登录并为您的用户注册 MFA 设备。
1. 注册 MFA 设备后, Amazon Web Services 访问门户打开。
1. 在 Amazon Web Services 访问门户中,选择您的, Amazon Web Services 账户 然后选择**AdministratorAccess**。随后您将被重定向至 Amazon 管理控制台。
### 步骤 4:将 Amazon 托管应用程序配置为使用 IAM 身份中心
1. 登录 Amazon 管理控制台后,打开计划使用的 Amazon 托管应用程序的控制台。
1. 按照控制台中的指导将 Amazon 托管应用程序配置为使用 IAM Identity Center。在此过程中,您可以将创建的用户分配给该应用程序。
## 设置 IAM 身份中心的账户实例以测试 Amazon 托管应用程序
**注意**
IAM Identity Center 的账户实例将部署范围限定在单个 Amazon Web Services 账户内。您必须在与要测试的 Amazon 应用程序 Amazon Web Services 区域 相同的情况下启用此实例。
**确认您的应用程序**
所有与 IAM 身份中心配合使用的 Amazon 托管应用程序均可与 IAM 身份中心的组织实例一起使用。但是,只有其中部分应用程序可以与 IAM Identity Center 的账户实例一起使用。查看 [Amazon 可与 IAM 身份中心配合使用的托管应用程序](awsapps-that-work-with-identity-center.md) 列表。
### 步骤 1. 启用 IAM Identity Center 的账户实例
1. 请执行以下一项操作,登录 Amazon Web Services 管理控制台。
+ ** Amazon (root 用户)新**手 — 选择 R **oot 用户**并输入您的 Amazon Web Services 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。
+ **已使用 Amazon 独立版 Amazon Web Services 账户 (IAM 证书)**— 使用具有管理权限的 IAM 凭证登录。
1. 在 Amazon 管理控制台主页上,选择 IAM 身份中心服务或导航到 [IAM 身份中心控制台](https://console.amazonaws.cn/singlesignon)。
1. 请选择**启用**。
1. 在**使用 Amazon Organizations启用 IAM Identity Center** 页面上,选择**启用 IAM Identity Center 的账户实例**。
1. 在**启用 IAM Identity Center 账户实例**页面上,查看信息并可选地添加要与此账户实例关联的标签。然后选择 **Enable**。
### 步骤 2:在 IAM Identity Center 中创建用户
此过程介绍如何直接在内置的 Identity Center 目录中创建用户。此目录未连接到管理员可能用于管理工作用户的任何其他目录。在 IAM Identity Center 中创建用户后,您需要为此用户指定新凭证。当您以该用户身份登录以测试您的 Amazon 托管应用程序时,您将使用新的凭据登录。新凭证不允许您访问其他企业资源
**注意**
建议您仅出于测试目的使用此方法创建用户。
1. 在 IAM Identity Center 控制台的导航窗格中,选择**用户**,然后选择**添加用户**。
1. 请按照控制台中的指导添加用户。保持选中**向该用户发送包含密码设置说明的电子邮件**,并确保指定您有权访问的电子邮件地址。
1. 注销 Console。
### 步骤 3:以 IAM 身份中心用户身份登录 Amazon Web Services 访问门户
Amazon Web Services 访问门户是一个 Web 门户,可让您创建的用户访问 Amazon 管理控制台。在登录 Amazon Web Services 访问门户之前,您必须接受加入 IAM Identity Center 的邀请并激活用户凭证。
1. 检查您的电子邮件,查找主题为**邀请加入 Amazon IAM Identity Center** 的邮件。
1. 选择**接受邀请**,然后按照注册页面上的指导设置新密码、登录并为您的用户注册 MFA 设备。
1. 注册 MFA 设备后, Amazon Web Services 访问门户打开。当应用程序对您可用时,您可以在**应用程序**选项卡下找到它们。
**注意**
Amazon 支持账户实例的应用程序允许用户无需额外权限即可登录应用程序。因此,**账户**选项卡将保持为空。
### 步骤 4:将 Amazon 托管应用程序配置为使用 IAM 身份中心
1. 登录 Amazon 管理控制台后,打开计划使用的 Amazon 托管应用程序的控制台。
1. 按照控制台中的指导将 Amazon 托管应用程序配置为使用 IAM Identity Center。在此过程中,您可以将创建的用户分配给该应用程序。