启用 IAM Identity Center

当您启用 IAM Identity Center 时，您需要选择要启用的 Amazon IAM Identity Center 实例类型。服务实例是服务在您 Amazon 环境中的单个部署。IAM Identity Center 有两种可用实例：组织实例和账户实例。您可以启用的实例类型取决于您登录的账户类型。

以下列表指明了您可以为每种 Amazon Web Services 账户类型启用的 IAM Identity Center 实例类型：

Amazon Organizations 管理账户（推荐）– 用于创建 IAM Identity Center 组织实例。使用组织实例，您可以在整个组织内实现多账户权限和应用程序分配。
Amazon Organizations 成员账户 – 用于创建 IAM Identity Center 账户实例，以在该成员账户中实现应用程序分配。一个组织中可以存在一个或多个具有成员级实例的账户。
独立 Amazon Web Services 账户 – 用于创建 IAM Identity Center 的组织实例或账户实例。独立 Amazon Web Services 账户不由 Amazon Organizations 管理。您只能将一个 IAM Identity Center 实例与一个独立的 Amazon Web Services 账户关联，并使用该实例在该独立 Amazon Web Services 账户内进行应用程序分配。

重要

组织管理账户可以通过使用服务控制策略来控制组织成员账户是否可以创建 IAM Identity Center 的账户实例。

有关不同实例类型提供的不同功能的比较，请参阅 IAM Identity Center 的组织和账户实例。

在启用 IAM Identity Center 之前，我们建议您查看 IAM Identity Center 先决条件和注意事项。

启用 IAM Identity Center 的实例

选择与您要启用的 IAM Identity Center 实例类型对应的选项卡（组织实例或账户实例）：

Organization (recommended)

请执行以下一项操作，登录 Amazon Web Services 管理控制台。
- Amazon 新用户（根用户）：通过选择根用户并输入您的 Amazon Web Services 账户电子邮件地址，以账户所有者身份登录。在下一页，输入您的密码。
- 已经通过独立 Amazon Web Services 账户（IAM 凭证）使用 Amazon - 使用具有管理权限的 IAM 凭证登录。
- 已在使用的 Amazon Organizations（IAM 凭证）- 使用您的管理账户凭证登录。
打开 IAM Identity Center 控制台。
（可选）如果您希望使用客户自主管理型的 KMS 密钥进行静态加密，而不是默认的 Amazon 托管密钥，请在用于加密 IAM Identity Center 静态数据的密钥部分配置客户自主管理型的密钥。有关更多信息，请参阅在 Amazon IAM Identity Center 中实施客户自主管理型 KMS 密钥。

重要
仅当您已配置使用 KMS 客户自主管理型密钥的必要权限后，才执行此步骤。如果没有适当的权限，此步骤可能会失败或中断 IAM Identity Center 管理和 Amazon 托管应用程序。
在启用 IAM Identity Center下，选择启用。
在结合 Amazon Organizations 启用 IAM Identity Center 页面，查看相关信息后选择启用完成操作。

注意
Amazon Organizations 只能在单个 Amazon 区域中启用 IAM Identity Center。启用 IAM Identity Center 后，如果您需要更改启用 IAM Identity Center 的区域，则必须删除当前实例并在另一个区域中创建实例。

启用组织实例后，我们建议您执行以下步骤来完成环境设置：

确认您正在使用所选择的身份源。若已有分配的身份源，可以继续使用。有关更多信息，请参阅确认 IAM Identity Center 中的身份源。
将成员账户注册为委托管理员。有关更多信息，请参阅委派管理。
IAM Identity Center 为您提供了一个访问 Amazon 资源的门户。如果使用下一代防火墙（NGFW）或安全 Web 网关（SWG）等 Web 内容过滤解决方案来过滤对特定 Amazon 域或 URL 端点的访问权限，请参阅更新防火墙和网关，以允许访问 Amazon Web Services 访问门户。

Account

请执行以下一项操作，登录 Amazon Web Services 管理控制台。
- Amazon 新用户（根用户）：通过选择根用户并输入您的 Amazon Web Services 账户电子邮件地址，以账户所有者身份登录。在下一页，输入您的密码。
- 已经在使用 Amazon（IAM 凭证）– 使用具有管理权限的 IAM 凭证登录。
- 已经在使用 Amazon Organizations（IAM 凭证）- 使用您的成员账户管理凭证登录。
打开 IAM Identity Center 控制台。
如果您是 Amazon 新手或拥有独立的 Amazon Web Services 账户，请在启用 IAM Identity Center 下，选择启用。

您将看到结合 Amazon Organizations 启用 IAM Identity Center 页面。我们推荐此选项，但非强制要求。

选择链接启用 IAM Identity Center 的账户实例。
如果您是 Amazon Organizations 成员账户的管理员，请在启用 IAM Identity Center 的账户实例下，选择启用账户实例。
在启用 IAM Identity Center 账户实例页面上，查看信息并可选地添加要与此账户实例关联的标签。然后选择启用以完成该过程。
注意
如果您的 Amazon 账户是组织成员账户，启用 IAM Identity Center 账户实例的权限可能受到限制。
- 如果您的组织在 2023 年 11 月 15 日之前启用了 IAM Identity Center，成员账户创建账户实例的功能默认禁用，需由组织管理账户手动启用。
- 如果您的组织在 2023 年 11 月 15 日之后启用了 IAM Identity Center，成员账户创建账户实例的功能默认启用。但组织可通过服务控制策略禁止创建 IAM Identity Center 账户实例。
有关更多信息，请参阅允许在成员账户中创建账户实例和使用服务控制策略控制账户实例创建。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

删除 IAM Identity Center 实例

确认身份源