用户、组和预调配 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用户、组和预调配

处理 IAM Identity Center 中的用户和组时,请记住以下注意事项。

用户名和电子邮件地址的唯一性

IAM Identity Center 的用户必须具有唯一可识别性。IAM Identity Center 采用的用户名是您的用户的主要标识符。尽管大多数人将用户名设置为用户的电子邮件地址,但 IAM Identity Center 和 SAML 2.0 标准并不要求这样做。但是,许多基于 SAML 2.0 的应用程序将电子邮件地址作为用户的唯一标识符。这些应用程序从 SAML 2.0 身份提供商在身份验证期间发送的断言中获得此信息。此类应用程序依赖每个用户电子邮件地址的唯一性。因此,IAM Identity Center 允许您为用户登录指定除电子邮件地址以外的其他内容。IAM Identity Center 要求您的用户的所有用户名和电子邮件地址均为非空且是唯一的。

组是由您定义的用户的逻辑组合。您可以创建组并将用户添加到该组中。IAM Identity Center 不支持将组添加到组(嵌套组)。分配对 Amazon Web Services 账户 和应用程序的访问权限时,组非常有用。与其向每个用户单独分配访问权限,不如向组授予权限。稍后,当您在组中添加或移除用户时,该用户会自动获得或失去对您分配给该组的账户和应用程序的访问权限。

用户和组预调配

预调配是使用户和组信息可供 IAM Identity Center 以及 Amazon 托管的应用程序或客户托管的应用程序使用的过程。您可以直接在 IAM Identity Center 中创建用户和组,也可以使用您在 Active Directory 或外部身份提供商中拥有的用户和组。在您使用 IAM Identity Center 为用户和组分配 Amazon Web Services 账户 中的访问权限之前,IAM Identity Center 必须先了解这些用户和组。同样,Amazon 托管的应用程序和客户托管的应用程序可以与 IAM Identity Center 了解的用户和组一起使用。

IAM Identity Center 中的预调配因您使用的身份源而异。有关更多信息,请参阅 管理您的身份源