本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# IAM Identity Center 是什么？
<a name="what-is"></a>

Amazon IAM Identity Center 是将您的员工用户连接到 Kiro 和 Amazon Quick 等 Amazon 托管应用程序以及其他 Amazon 资源的 Amazon 解决方案。您可以连接现有身份提供者，同步目录中的用户和组，或者直接在 IAM Identity Center 中创建和管理用户。然后，您可以将 IAM Identity Center 用于以下一个或两个用途：
+ 用户对应用程序的访问权限
+ 用户访问权限 Amazon Web Services 账户

**已经在使用 IAM 进行访问了 Amazon Web Services 账户吗？**

您无需对当前 Amazon Web Services 账户 的工作流程进行任何更改即可使用 IAM Identity Center 访问 Amazon 托管应用程序。如果您使用[与 IAM 的联合](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam)身份验证进行 Amazon Web Services 账户 访问，则您的用户可以继续以与往常相同的方式进行访问 Amazon Web Services 账户 ，并且您可以继续使用现有的工作流程来管理该访问权限。

## 为何使用 IAM Identity Center？
<a name="features"></a>

IAM Identity Center 通过以下关键功能简化并简化了员工用户对应用程序或 Amazon Web Services 账户两者的访问。

**与 Amazon 托管应用程序集成**  
[Amazon 托管应用程序](awsapps.md)，例如 Kiro，并 Amazon Redshift 与 IAM 身份中心集成。IAM Identity Center 为 Amazon 托管应用程序提供了用户和群组的通用视图。

**跨应用程序的可信身份传播 **  
通过可信身份传播，诸如 Amazon Quick 之类的托 Amazon 管应用程序可以安全地与其他 Amazon 托管应用程序（例如）共享用户的身份， Amazon Redshift 并根据用户的身份授权访问 Amazon 资源。您可以更轻松地审计用户活动，因为 CloudTrail 事件是根据用户和用户启动的操作记录的。这可让您更轻松地用户的访问记录。有关支持的用例的信息，包括 end-to-end配置指南，请参阅[可信身份传播应用场景](trustedidentitypropagation-integrations.md)。

**一站式为多个 Amazon Web Services 账户分配权限**  
借助多账户权限，IAM Identity Center 提供了集中向多个 Amazon Web Services 账户中的用户组分配权限的平台。您可以根据常见的工作职能创建权限，或定义满足您安全需求的自定义权限。然后，您可以将这些权限分配给员工用户，以控制他们对特定的访问权限 Amazon Web Services 账户。  
此可选功能仅适用于 IAM Identity Center 的[组织实例](organization-instances-identity-center.md)。

**一个联合身份验证点可简化对 Amazon的用户访问权限**  
通过提供一个联合点，IAM Identity Center 减少了使用多个 Amazon 托管应用程序所需的管理工作和 Amazon Web Services 账户。通过 IAM Identity Center，您只需进行一次联合身份验证，并且在使用 [https://wiki.oasis-open.org/security](https://wiki.oasis-open.org/security) 身份提供者时只需管理一个证书。IAM Identity Center 为 Amazon 托管应用程序提供用户和群组的通用视图，用于可信身份传播用例，或者当用户与其他人共享 Amazon 资源访问权限时。  
有关如何配置常用身份提供者来使用 IAM Identity Center 的信息，请参阅 [IAM Identity Center 身份源教程](tutorials.md)。当前没有身份提供者，可[直接在 IAM Identity Center 目录中创建和管理用户](quick-start-default-idc.md)。

**两种实例类型**  
IAM Identity Center 支持两种类型的实例：*组织实例*和*账户实例*。使用组织实例是最佳做法。它是唯一允许您管理访问权限的实例， Amazon Web Services 账户 建议将其用于应用程序的所有生产用途。组织实例部署在 Amazon Organizations 管理账户中，可让您通过单点管理用户访问权限 Amazon。  
账户实例绑定 Amazon Web Services 账户 到启用它们的。仅使用 IAM Identity Center 的账户实例来支持特定 Amazon 托管应用程序的隔离部署。有关更多信息，请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。

**便于用户访问的 Web 门户**  
 Amazon Web Services 访问门户是一个用户友好的门户网站，可让您的用户无缝访问他们分配的所有应用程序 Amazon Web Services 账户，或两者兼而有之。

**多区域访问 Amazon Web Services 账户 和应用程序**  
当您将您的 IAM Identity Center 实例复制到其他区域时，您的员工可以通过所有启用的区域访问分配给 Amazon Web Services 账户 他们的应用程序和应用程序，并且他们可以在每个启用的区域中部署 Amazon 托管应用程序。