先决条件和注意事项 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

先决条件和注意事项

以下主题提供有关设置 IAM Identity Center 先决条件和其他注意事项的信息。

选择的注意事项 Amazon Web Services 区域

您可以根据自己的选择在单个实例中启用 IAM Identity C Amazon Web Services 区域 enter 实例。选择区域需要根据您的用例和公司政策评估您的优先级。从您的 IAM Identity Center 访问 Amazon Web Services 账户 和云应用程序不取决于此选择;但是,对 Amazon 托管应用程序的访问权限以及是否能够 Amazon Managed Microsoft AD 用作身份源可能取决于此选择。有关 Amazon IAM 身份中心支持的区域列表, Amazon Web Services 一般参考 请参阅中的 IAM 身份中心终端节点和配额

选择的关键注意事项 Amazon Web Services 区域.

  • 地理位置 — 当您选择地理位置最接近大多数最终用户的区域时,他们访问 Amazon Web Services 访问门户和 Amazon 托管应用程序(例如亚马逊 SageMaker Studio)的延迟将更低。

  • Amazon 托管应用程序的可用性 — Amazon 托管应用程序(例如 Amazon SageMaker)只能在其支持的应用程序中 Amazon Web Services 区域 运行。在您要与之配合使用的 Amazon 托管应用程序支持的区域中启用 IAM 身份中心。许多 Amazon 托管应用程序也只能在您启用 IAM Identity Center 的同一区域运行。

  • 数字主权 — 数字主权法规或公司政策可能强制使用特定内容 Amazon Web Services 区域。请咨询贵公司的法律部门。

  • 身份来源 — 如果您使用 Amazon Managed Microsoft AD 或 AD Connector 作为身份源,则其主区域必须与您启用 IAM 身份中心时所在的区域相匹配。 Amazon Web Services 区域

  • 默认情况下禁用区域 — Amazon 最初 Amazon Web Services 账户 默认启用所有新区域 Amazon Web Services 区域 以供在中使用,这会自动允许您的用户在任何区域创建资源。现在,当 Amazon 添加新区域时,默认情况下,所有账户都将禁用该区域。如果您在默认禁用的区域部署 IAM Identity Center,则必须在您想要管理 IAM Identity Center 访问权限的所有账户中启用该区域。即使您不打算在该区域的这些账户中创建任何资源,这也是必需的。

    您可以为组织中的当前账户启用区域,并且必须对稍后可能添加的新账户重复此操作。有关说明,请参阅 Amazon Organizations 用户指南中的在组织中启用或禁用区域。为避免重复这些额外步骤,您可以选择在默认启用的区域部署您的 IAM 身份中心。作为参考,以下区域默认处于启用状态:

    • 美国东部(俄亥俄)

    • 美国东部(弗吉尼亚州北部)

    • 美国西部(俄勒冈州)

    • 美国西部(加利福尼亚北部)

    • 欧洲地区(巴黎)

    • 南美洲(圣保罗)

    • 亚太地区(孟买)

    • 欧洲地区(斯德哥尔摩)

    • 亚太地区(首尔)

    • 亚太地区(东京)

    • 欧洲地区(爱尔兰)

    • 欧洲地区(法兰克福)

    • 欧洲地区(伦敦)

    • 亚太地区(新加坡)

    • 亚太地区(悉尼)

    • 加拿大(中部)

    • 亚太地区(大阪)

  • 跨区域呼叫 — 在某些区域,IAM Identity Center 可能会致电其他区域的 Amazon 简单电子邮件服务来发送电子邮件。在这些跨区域调用中,IAM Identity Center 会将某些用户属性发送到另一个区域。有关 区域的更多信息,请参阅Amazon IAM Identity Center 地区可用性

切换 Amazon Web Services 区域

您只能通过删除当前实例并在另一个区域创建新实例来切换 IAM 身份中心区域。如果您已经使用现有实例启用了 Amazon 托管应用程序,则应先将其删除,然后再删除 IAM Identity Center。您必须在新实例中重新创建用户、组、权限集、应用程序和分配。您可以使用 IAM Identity Center 账户和应用程序分配 API 来获取配置的快照,然后使用该快照在新区域中重建您的配置。您可能还需要通过新实例的管理控制台重新创建一些 IAM Identity Center 配置。有关删除 IAM 身份中心的说明,请参阅删除您的 IAM 身份中心实例

IAM 身份中心创建的 IAM 角色配额

IAM Identity Center 通过创建 IAM 角色,向用户提供资源访问权限。当您分配权限集时,IAM Identity Center 会在每个账户中创建由 IAM Identity Center 控制的相应 IAM 角色,并将权限集中指定的策略附加给这些角色。IAM Identity Center 管理角色,并允许您定义的授权用户使用 Amazon Web Services 访问门户或代入该角色。 Amazon CLI在您修改权限集时,IAM Identity Center 会确保相应的 IAM 策略和角色也相应更新。

如果您已经在中配置了 IAM 角色 Amazon Web Services 账户,我们建议您检查您的账户是否已接近 IAM 角色的配额。每个账户的 IAM 角色默认配额为 1000 个角色。有关更多信息,请参阅 IAM 对象限额

如果您已接近此限额,可以考虑申请增加限额。否则,当您为已超过 IAM 角色限额的帐户预置权限集时,IAM Identity Center 可能会遇到问题。有关如何请求提高限额的信息,请参阅 Service Quotas 用户指南中的请求增加限额

注意

如果您正在查看已使用 IAM Identity Center 账户中的 IAM 角色,您可能会注意到以 “AWSReservedSSO_” 开头的角色名称。这些角色是 IAM Identity Center 服务在帐户中创建的角色,它们来自向帐户分配权限集。

IAM 身份中心和 Amazon Organizations

Amazon Organizations 建议在 IAM 身份中心中使用,但不是必需的。如果您还没有设置组织,则不必执行此操作。启用 IAM Identity Center 时,您将选择是否使用启用该服务 Amazon Organizations。当你建立组织时,建立 Amazon Web Services 账户 该组织的用户将成为该组织的管理帐户。此时, Amazon Web Services 账户 的根用户将是组织管理账户的所有者。 Amazon Web Services 账户 您邀请加入组织的所有其他成员均为成员帐户。管理账户将创建组织资源、组织单位,以及管理成员账户的策略。权限将通过管理账户委派给成员账户。

注意

我们建议您使用启用 IAM Identity Center Amazon Organizations,这将创建 IAM 身份中心的组织实例。组织实例是我们推荐的最佳实践,因为它支持 IAM Identity Center 的所有功能,并提供集中管理能力。有关更多信息,请参阅 管理 IAM Identity Center 的组织实例和账户实例

如果您已经设置 Amazon Organizations 并打算将 IAM Identity Center 添加到您的组织,请确保所有 Amazon Organizations 功能都已启用。在创建组织时,默认情况下将启用所有功能。有关更多信息,请参阅《Amazon Organizations 用户指南》中的启用企业中的所有功能

要启用 IAM Identit Amazon Web Services Management Console y Center,您必须以拥有 Amazon Organizations 管理凭证的用户或根用户身份登录管理账户(除非不存在其他管理用户,否则不建议这样做)登录管理账户。使用 Amazon Organizations 成员账户的管理证书登录时,您无法启用 IAM Identity Center。有关更多信息,请参阅《Amazon Organizations 用户指南》中的创建和管理 Amazon 组织

有关管理您的的更多信息 Amazon Organizations,请参阅以下内容: