本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用 Amazon IAM Identity Center
完成以下步骤登录 Amazon Web Services Management Console 并启用 IAM Identity Center 的组织实例。
-
请执行以下任一操作,登录 Amazon Web Services Management Console。
-
Amazon (root 用户)新手 — 选择 R oot 用户并输入您的 Amazon Web Services 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。
-
已在使用 Amazon (IAM 证书)— 使用具有管理权限的 IAM 凭证登录。
-
-
在启用 IAM Identity Center 下,选择与 Amazon Organizations一起启用。
-
(可选)添加要与此组织实例关联的标签。
-
(可选)配置委托管理。
注意
如果您正在使用多账户环境,我们建议您配置委托管理。通过委托管理,您可以限制 Amazon Organizations中需要访问管理账户的人数。有关更多信息,请参阅委派管理。
重要
创建 IAM Identity Center 账户实例的功能默认已启用。IAM Identity Center 账户实例包含的功能是组织实例可用功能的一部分。您可以使用服务控制策略,控制用户是否可以访问此功能。
是否需要更新防火墙和网关?
如果您使用网络内容过滤解决方案(例如下一代防火墙 (NGFW) 或安全 Web 网关 (SWG))来过滤对特定 Amazon 域或 URL 端点的访问,则必须将以下域或 URL 端点添加到您的网络内容过滤解决方案许可名单中。这样您就可以访问您的 Amazon Web Services 访问门户。
[Directory ID or alias].awsapps.com*.aws.dev*.awsstatic.com*.console.aws.a2z.comoidc.[Region].amazonaws.com*.sso.amazonaws.com*.sso.[Region].amazonaws.com*.sso-portal.[Region].amazonaws.com[Region].signin.aws[Region].signin.aws.amazon.comsignin.aws.amazon.com*.cloudfront.netopfcaptcha-prod.s3.amazonaws.com
将域名和 URL 端点列入许可名单的注意事项
了解 Amazon Web Services 访问门户之外的域名许可名单的影响。
-
要从您的访问 Amazon Web Services 账户门户 Amazon Web Services 访问 Amazon Web Services Management Console、和 IAM Identity Center 控制台,您必须将其他域列入许可名单。有关 Amazon Web Services Management Console 域名列表,请参阅《Amazon Web Services Management Console 入门指南》中的疑难解答。
要从您的访问门户 Amazon Web Services 访问 Amazon 托管应用程序,您必须将其各自的域列入许可名单。有关指导,请参阅相应的服务文档。
-
这些许可名单涵盖 Amazon 服务。如果您使用外部软件,例如外部软件 IdPs(例如Okta和Microsoft Entra ID),则需要将其域名包括在许可名单中。
现在,您可以配置 IAM Identity Center。启用 IAM Identity Center 后,它会自动配置 IAM Identity Center 目录作为您的默认身份源,这是开始使用 IAM Identity Center 的最快方法。有关说明,请参阅 使用默认 IAM Identity Center 目录配置用户访问权限。
如果您想进一步了解 IAM Identity Center 如何与 Organizations、身份源和 IAM 角色配合使用,请参阅以下主题。