本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 启用 IAM Identity Center
启用 IAM Identity Center 时,您可以选择要启用的 Amazon IAM Identity Center 实例类型。服务的实例是在您的 Amazon 环境中对服务的单一部署。IAM Identity Center 有两种可用实例:组织实例和账户实例。您可以启用的实例类型取决于您登录的账户类型。
以下列表指明了您可以为每种 Amazon Web Services 账户类型启用的 IAM Identity Center 实例类型:
+ **您的 Amazon Organizations 管理账户(推荐)**— 创建 IAM Identity Center 的[组织实例](organization-instances-identity-center.md)所必需的。使用组织实例,您可以在整个组织内实现多账户权限和应用程序分配。您可以将此实例类型复制到其他区域,以增强账户访问的灵活性以及选择 Amazon 应用程序部署区域的灵活性。
+ **您的 Amazon Organizations 成员账户** — 用于创建 IAM Identity Center 的[账户实例](account-instances-identity-center.md),以便在该成员账户中启用应用程序分配。一个组织中可以存在一个或多个具有成员级实例的账户。
+ **独立版 Amazon Web Services 账户** — 用于创建 IAM Identity Center 的[组织实例](organization-instances-identity-center.md)[或账户实例](account-instances-identity-center.md)。独立版 Amazon Web Services 账户 不是由管理的 Amazon Organizations。您只能将一个 IAM Identity Center 实例与独立实例关联, Amazon Web Services 账户 并将该实例用于该独立实例中的应用程序分配 Amazon Web Services 账户。
**重要**
组织管理账户可以通过使用服务控制策略来[控制组织成员账户是否可以创建 IAM Identity Center 的账户实例](https://docs.amazonaws.cn/singlesignon/latest/userguide/control-account-instance.html)。
如果您使用免费套餐账户,则创建 Amazon 组织会自动将您的账户升级为带 pay-as-you-go定价的付费套餐。您的免费套餐积分将立即过期。有关更多信息,请参阅 [Amazon 免费套餐 FAQs](https://www.amazonaws.cn/free/free-tier-faqs/)。
有关不同实例类型提供的不同功能的比较,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
在启用 IAM Identity Center 之前,我们建议您查看 [IAM Identity Center 先决条件和注意事项](identity-center-prerequisites.md)。
## 启用 IAM Identity Center 的实例
选择与您要启用的 IAM Identity Center 实例类型对应的选项卡(组织实例或账户实例):
------
#### [ Organization (recommended) ]
1. 请执行以下一项操作,登录 Amazon Web Services 管理控制台。
+ ** Amazon (root 用户)新**手 — 选择 R **oot 用户**并输入您的 Amazon Web Services 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。
+ **已使用 Amazon 独立版 Amazon Web Services 账户 (IAM 证书)**— 使用具有管理权限的 IAM 凭证登录。
+ **已在使用 Amazon Organizations (IAM 证书)**-使用您的管理账户证书登录。
1. 打开 [IAM Identity Center 控制台](https://console.amazonaws.cn/singlesignon)。
1. (可选)如果您想使用客户托管的 KMS 密钥进行静态加密,而不是使用默认的 Amazon 托管密钥,请在用于加密**静态的 IAM Identity Center 数据的密钥**部分中配置客户托管密钥。有关更多信息,请参阅[在中实现客户托管的 KMS 密钥 Amazon IAM Identity Center](identity-center-customer-managed-keys.md)。
**重要**
仅当您已配置使用 KMS 客户自主管理型密钥的必要权限后,才执行此步骤。如果没有适当的权限,此步骤可能会失败或中断 IAM Identity Center 管理和 Amazon 托管应用程序。
1. 在**启用 IAM Identity Center**下,选择**启用**。
1. 在**结合 Amazon Organizations启用 IAM Identity Center** 页面,查看相关信息后选择**启用**完成操作。
**注意**
Amazon Organizations 只能在单个 Amazon 区域启用 IAM 身份中心。启用 IAM Identity Center 后,如果您需要更改启用 IAM Identity Center 的区域,则必须[删除](delete-config.md)当前实例并在另一个区域中创建实例。
启用组织实例后,我们建议您执行以下步骤来完成环境设置:
+ 确认您正在使用所选择的身份源。若已有分配的身份源,可以继续使用。有关更多信息,请参阅 [确认 IAM Identity Center 中的身份源](confirm-identity-source.md)。
+ 将成员账户注册为委托管理员。有关更多信息,请参阅 [委派管理](delegated-admin.md)。
+ IAM 身份中心为您提供 Amazon 资源访问门户。如果您使用下一代防火墙 (NGFW) 或安全 Web 网关 (SWG) 等 Web 内容过滤解决方案来筛选对特定 Amazon 域或 URL 端点的访问权限,请参阅。[更新防火墙和网关以允许访问 Amazon Web Services 访问门户](enable-identity-center-portal-access.md)
------
#### [ Account ]
1. 请执行以下一项操作,登录 Amazon Web Services 管理控制台。
+ ** Amazon (root 用户)新**手 — 选择 R **oot 用户**并输入您的 Amazon Web Services 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。
+ **已在使用 Amazon (IAM 证书)**— 使用具有管理权限的 IAM 凭证登录。
+ **已使用 Amazon Organizations (IAM 证书)**-使用您的成员账户管理证书登录。
1. 打开 [IAM Identity Center 控制台](https://console.amazonaws.cn/singlesignon)。
1. 如果您是新手 Amazon 或拥有独立版 Amazon Web Services 账户,请在**启用 IAM 身份中心**下选择**启用**。
您将看到**结合 Amazon Organizations启用 IAM Identity Center** 页面。我们推荐此选项,但非强制要求。
选择链接**启用 IAM Identity Center 的账户实例**。
1. 如果您是 Amazon Organizations 成员账户的管理员,请在**启用 IAM Identity Center 的****账户实例下,选择启用账户实例**。
1. 在**启用 IAM Identity Center 账户实例**页面上,查看信息并*可选地*添加要与此账户实例关联的标签。然后选择**启用**以完成该过程。
**注意**
如果您的 Amazon 账户是组织的成员,那么您启用 IAM Identity Center 账户实例的能力可能会受到限制。
如果您的组织在 2023 年 11 月 15 日之前启用了 IAM Identity Center,成员账户创建账户实例的功能默认禁用,需由组织管理账户手动启用。
如果您的组织在 2023 年 11 月 15 日之后启用了 IAM Identity Center,成员账户创建账户实例的功能默认启用。但组织可通过服务控制策略禁止创建 IAM Identity Center 账户实例。
有关更多信息,请参阅[允许在成员账户中创建账户实例](enable-account-instance-console.md)和[使用服务控制策略控制账户实例创建](control-account-instance.md)。
------