本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件和注意事项
在设置可信身份传播之前,请先查看以下先决条件和注意事项。
先决条件
要使用可信身份传播,请确保您的环境满足以下先决条件。
-
已部署 IAM Identity Center 并预置了用户和组
要使用可信身份传播,您必须启用 IAM Identity Center,并预置用户和组。有关信息,请参阅 IAM Identity Center 中的常见任务入门。
推荐组织实例 — 我们建议您使用在 Organizati ons 的管理账户中启用的 IAM Identity Center Amazon 组织实例。如果您计划使用可信身份传播来使用户能够访问同一组织 Amazon Web Services 账户 内不同机构的 Amazon 服务和相关资源,则可以将您的 IAM Identity Center 实例的管理委托给成员账户。
如果您计划使用 IAM Identity Center 的单一账户实例,则您希望用户通过可信身份传播访问的所有 Amazon服务和资源都必须位于同一个独立账户中 Amazon Web Services 账户,或者位于您启用 IAM Identity Center 的组织中的同一个成员账户中。有关更多信息,请参阅 IAM Identity Center 的账户实例。
-
适用于 Amazon 托管应用程序;连接到 IAM 身份中心
要使用可信身份传播, Amazon 托管应用程序必须与 IAM 身份中心集成。
额外注意事项
使用可信身份传播时,请记住以下额外注意事项。
-
不要修改 Amazon 托管应用程序的 “需要分配” 设置
Amazon 托管应用程序具有默认设置配置,用于确定是否需要为用户和组进行分配。我们建议您不要修改此项设置。即使您配置了允许用户访问特定资源的细粒度权限,修改需要分配设置也可能会导致意外行为,包括中断用户对这些资源的访问。
-
不需要多账户权限(权限集)
可信身份传播不需要您设置多账户权限(权限集)。您可以启用 IAM Identity Center,仅将其用于可信身份传播。