本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 先决条件和注意事项
<a name="trustedidentitypropagation-overall-prerequisites"></a>

在设置可信身份传播之前，请先查看以下先决条件和注意事项。

**Topics**
+ [先决条件](#trustedidentitypropagation-prerequisites)
+ [注意事项](#trustedidentitypropagation-considerations)
+ [客户自主管理型应用程序的注意事项](#trustedidentitypropagation-customer-apps)

## 先决条件
<a name="trustedidentitypropagation-prerequisites"></a>

要使用可信身份传播，请确保您的环境满足以下先决条件：
+ 启用和预置 IAM Identity Center
  + 要使用可信身份传播，您必须在启用用户将要访问的 Amazon 应用程序和服务的相同 Amazon Web Services 区域 位置启用 IAM Identity Center。有关信息，请参阅[启用 IAM Identity Center](enable-identity-center.md)。
    + 推荐使用 IAM Identity Center 组织实例 - 我们建议您使用在 Amazon Organizations管理账户中启用的 IAM Identity Center [组织实例](organization-instances-identity-center.md)。您可以将 IAM Identity Center 组织实例的[管理权限委托](organization-instances-identity-center.md)给成员账户。如果您选择 IAM Identity Center 的[账户实例](account-instances-identity-center.md)，则所有希望用户通过可信身份传播访问的 Amazon Web Services 服务 必须位于您启用 IAM Identity Center 的同一 Amazon Web Services 账户 中。有关更多信息，请参阅 [IAM Identity Center 的账户实例](account-instances-identity-center.md)。
  + 将您现有的身份提供者连接到 IAM Identity Center，并将用户和组配置到 IAM Identity Center 中。有关更多信息，请参阅 [IAM Identity Center 身份源教程](tutorials.md)。
+ 将您的可信身份传播用例中的 Amazon 托管应用程序和服务连接到 IAM Identity Center。要使用可信身份传播， Amazon 托管应用程序必须连接到 IAM 身份中心。

## 注意事项
<a name="trustedidentitypropagation-considerations"></a>

配置和使用可信身份传播时，请记住以下注意事项：
+ **IAM Identity Center 的组织和账户实例**
  + IAM Identity Center 的[组织实例](organization-instances-identity-center.md)能为您提供最大的控制权和灵活性，支持将使用案例扩展到多个 Amazon Web Services 账户、用户和 Amazon Web Services 服务。如果您无法使用组织实例，您的使用案例可能支持通过 IAM Identity Center 的账户实例实现。有关您使用案例中的哪些 Amazon Web Services 服务 支持 IAM Identity Center 账户实例，请参阅 [Amazon 可与 IAM 身份中心配合使用的托管应用程序](awsapps-that-work-with-identity-center.md)。
+ **不需要多账户权限（权限集）**
  + 可信身份传播不需要您设置[多账户权限](manage-your-accounts.md)（权限集）。您可以启用 IAM Identity Center，仅将其用于可信身份传播。

## 客户自主管理型应用程序的注意事项
<a name="trustedidentitypropagation-customer-apps"></a>

即使您的用户与不由 Amazon您定制开发的应用程序管理的面向客户的应用程序进行交互，您的员工也可以从可信的身份Tableau传播中受益。这些应用程序的用户可能未在 IAM Identity Center 中配置。为了顺利识别和授权用户访问 Amazon 资源，IAM Identity Center 允许您在对用户进行身份验证的身份提供商与 IAM Identity Center 之间配置可信关系。有关更多信息，请参阅 [通过可信令牌发布者使用应用程序](using-apps-with-trusted-token-issuer.md)。

此外，为您的应用程序配置可信身份传播还需满足以下要求：
+ 您的应用程序必须使用 OAuth 2.0 框架进行身份验证。可信身份传播不支持 SAML 2.0 集成。
+ 您的应用程序必须获得 IAM Identity Center 的认可。请遵循您的[使用案例](trustedidentitypropagation-integrations.md)专属指引。