Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Requisitos previos y consideraciones sobre el IAM Identity Center
Puede utilizar IAM Identity Center para acceder únicamente a las aplicaciones AWS gestionadas, Cuentas de AWS únicamente o a ambas. Si utiliza la federación de IAM para gestionar el acceso Cuentas de AWS, puede seguir haciéndolo mientras utiliza el IAM Identity Center para acceder a las aplicaciones.
Antes de habilitar IAM Identity Center, considere lo siguiente:
+ AWS Región
Primero debe habilitar el Centro de Identidad de IAM en una sola región [compatible](regions.md) para cada instancia del Centro de Identidad de IAM. Si desea utilizar IAM Identity Center para acceder a las cuentas de AWS mediante un único inicio de sesión, todos los usuarios de su organización deben poder acceder a la región. Si piensa utilizar el Centro de identidad de IAM para acceder a las aplicaciones, tenga en cuenta que algunas aplicaciones AWS gestionadas, como Amazon SageMaker AI, solo pueden funcionar en las regiones que admiten. Además, la mayoría de las aplicaciones AWS administradas requieren que el Centro de Identidad de IAM esté disponible en la misma región que la aplicación. Esto puede lograrse ubicándolas en la misma región o, si es posible, replicando la instancia del IAM Identity Center en la región de despliegue deseada de una aplicación gestionada. AWS Para obtener más información, consulte [Consideraciones para elegir un Región de AWS](identity-center-region-considerations.md).
+ Acceso de aplicaciones
Puede usar el Centro de identidad de IAM solo para que los usuarios accedan a aplicaciones como Kiro, utilizando su proveedor de identidad actual. Para obtener más información, consulte [Uso del IAM Identity Center únicamente para el acceso de los usuarios a las aplicaciones](identity-center-for-apps-only.md).
**nota**
El propietario de la aplicación administra de forma independiente el acceso a los recursos de la aplicación.
+ Cuota de roles de IAM
IAM Identity Center crea roles de IAM para conceder a los usuarios permisos a los recursos de la cuenta. Para obtener más información, consulte [Roles de IAM creados por IAM Identity Center](identity-center-and-iam-roles.md).
+ Centro de identidad de IAM y AWS Organizations
AWS Organizations se recomienda, pero no es obligatorio, para su uso con el Centro de identidades de IAM. Si no ha configurado una organización, no tiene que hacerlo. Si ya ha configurado el Centro de Identidad de IAM AWS Organizations y lo va a añadir a su organización, asegúrese de que todas las AWS Organizations funciones estén habilitadas. Para obtener más información, consulte [Centro de identidad de IAM y AWS Organizations](identity-center-and-orgs.md).
Las interfaces web del IAM Identity Center, incluidos el portal de acceso y la consola del IAM Identity Center, están pensadas para que las personas puedan acceder a ellas a través de navegadores web compatibles. Los navegadores compatibles incluyen las tres últimas versiones de Microsoft Edge, Mozilla Firefox, Google Chrome y Apple Safari. No se admite el acceso a estos puntos finales mediante rutas que no estén basadas en el navegador. Para el acceso programático a los servicios del Centro de Identidad de IAM, recomendamos utilizar la documentación APIs disponible en las guías de referencia del Centro de Identidad de IAM y la API de Identity Store.
# Consideraciones para elegir un Región de AWS
Puede activar el Centro de Identidad de IAM en una sola unidad, con el soporte Región de AWS que prefiera y que esté disponible para los usuarios de todo el mundo. Esta disponibilidad global le facilita la configuración del acceso de los usuarios a múltiples Cuentas de AWS aplicaciones. Las siguientes son consideraciones clave para elegir una Región de AWS.
+ **Ubicación geográfica de sus usuarios**: si selecciona una región que esté geográficamente más cercana a la mayoría de sus usuarios finales, estos tendrán una latencia de acceso más baja al portal de AWS acceso y a las aplicaciones AWS gestionadas, como Amazon SageMaker AI.
+ Regiones de **suscripción voluntaria (regiones que están deshabilitadas de forma predeterminada)**: una región de suscripción voluntaria es aquella Región de AWS que está deshabilitada de forma predeterminada. Debe activar la región registrada para utilizarla. Para obtener más información, consulte [Managing IAM Identity Center in an opt-in Region](regions.md#manually-enabled-regions).
+ **Replicación del centro de identidad de IAM en regiones adicionales**: si planea replicar el centro de identidad de IAM en más regiones Regiones de AWS, debe elegir una región que esté habilitada de forma predeterminada. Para obtener más información, consulte [Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md).
+ **Selección de regiones de despliegue para las aplicaciones AWS gestionadas**: las aplicaciones AWS gestionadas solo pueden funcionar en las regiones Regiones de AWS en las que estén disponibles. Muchas aplicaciones AWS gestionadas también pueden funcionar solo en una región en la que el Centro de Identidad de IAM esté activado o en la que esté replicado (región principal o adicional). Para confirmar si su instancia del IAM Identity Center admite la replicación en regiones adicionales, consulte. [Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md) Si la replicación no es una opción, considere habilitar el IAM Identity Center en la región en la que planea usar las aplicaciones AWS administradas.
+ **Soberanía digital**: las normas de soberanía digital o las políticas de la empresa pueden exigir el uso de una determinada Región de AWS. Consulte con el departamento legal de su empresa.
+ **Fuente de identidad**: si utiliza [AWS Managed Microsoft AD](connectawsad.md)su directorio autogestionado de [Active Directory (AD)](connectonpremad.md) como fuente de identidad, su región de origen debe coincidir con la región Región de AWS en la que habilitó el IAM Identity Center.
+ **Correos electrónicos entre regiones con Amazon Simple Email Service**: en algunas regiones, IAM Identity Center puede llamar a [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) de una región diferente para enviar correos electrónicos. En estas llamadas entre regiones, el IAM Identity Center envía determinados atributos de usuario a la otra región. Para obtener más información, consulte [Correos electrónicos entre regiones con Amazon SES](regions.md#cross-region-calls).
+ **AWS Control Tower**— Si habilitas una instancia de organización del IAM Identity Center desde AWS Control Tower, la instancia se creará en la misma región que la AWS Control Tower landing zone.
**Topics**
+ [Operaciones y almacenamiento de datos regionales de IAM Identity Center](regions.md)
+ [Conmutación Regiones de AWS](switching-regions.md)
+ [Deshabilitar un Región de AWS lugar donde el Centro de identidad de IAM esté activado](disabling-region-with-identity-center.md)
# Operaciones y almacenamiento de datos regionales de IAM Identity Center
Descubra cómo IAM Identity Center gestiona el almacenamiento de datos y las operaciones en todas las Regiones de AWS.
## Comprenda cómo IAM Identity Center almacena los datos
Al activar el Centro de identidades de IAM, todos los datos que configure en el Centro de identidades de IAM se almacenan en la región en la que los haya activado. Estos datos incluyen configuraciones de directorios, conjuntos de permisos, instancias de aplicaciones y asignaciones de usuarios a Cuenta de AWS las aplicaciones. Si utiliza el almacén de identidades de IAM Identity Center, todos los usuarios y grupos que cree en IAM Identity Center también se almacenan en la misma región. Si replicas tu instancia del Centro de Identidad de IAM en otras regiones, el Centro de Identidad de IAM replica automáticamente los usuarios, los grupos, los conjuntos de permisos y sus asignaciones, así como otros metadatos y configuraciones en esas regiones.
## Correos electrónicos entre regiones con Amazon SES
IAM Identity Center utiliza [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) para enviar correos electrónicos a los usuarios finales cuando estos intentan iniciar sesión con una contraseña de un solo uso (OTP) como segundo factor de autenticación. Estos correos electrónicos también se envían para determinados eventos de administración de identidades y credenciales, como cuando se invita al usuario a configurar una contraseña inicial, verificar una dirección de correo electrónico y restablecer la contraseña. Amazon SES está disponible en un subconjunto de los Regiones de AWS que admite IAM Identity Center.
IAM Identity Center llama a los puntos de conexión locales de Amazon SES cuando Amazon SES está disponible localmente en una Región de AWS. Cuando Amazon SES no está disponible localmente, IAM Identity Center llama a los puntos de conexión de Amazon SES que se encuentren en una Región de AWS diferente, como se indica en la siguiente tabla.
| Código de región de IAM Identity Center | Nombre de región de IAM Identity Center | Código de región de Amazon SES | Nombre de región de Amazon SES |
| --- | --- | --- | --- |
| ap-east-1 | Asia-Pacífico (Hong Kong) | ap-northeast-2 | Asia-Pacífico (Seúl) |
| ap-east-2 | Asia-Pacífico (Taipéi) | ap-northeast-1 | Asia-Pacífico (Tokio) |
| ap-south-2 | Asia-Pacífico (Hyderabad) | ap-south-1 | Asia-Pacífico (Mumbai) |
| ap-southeast-4 | Asia-Pacífico (Melbourne) | ap-southeast-2 | Asia-Pacífico (Sídney) |
| ap-southeast-5 | Asia-Pacífico (Malasia) | ap-southeast-1 | Asia-Pacífico (Singapur) |
| ap-southeast-6 | Asia-Pacífico (Nueva Zelanda) | ap-southeast-2 | Asia-Pacífico (Sídney) |
| ap-southeast-7 | Asia-Pacífico (Tailandia) | ap-northeast-3 | Asia-Pacífico (Osaka) |
| ca-west-1 | Oeste de Canadá (Calgary) | ca-central-1 | Canadá (centro) |
| eu-south-2 | Europa (España) | eu-west-3 | Europa (París) |
| eu-central-2 | Europa (Zúrich) | eu-central-1 | Europa (Fráncfort) |
| mx-central-1 | México (centro) | us-east-2 | Este de EE. UU. (Ohio) |
| me-central-1 | Medio Oriente (EAU) | eu-central-1 | Europa (Fráncfort) |
| us-gov-east-1 | AWS GovCloud (Este de EE. UU.) | us-gov-west-1 | AWS GovCloud (Estados Unidos-Oeste) |
En estas llamadas entre regiones, IAM Identity Center puede enviar los siguientes atributos de usuario:
+ Dirección de correo electrónico
+ Nombre
+ Apellido
+ Cuenta en AWS Organizations
+ AWS URL del portal de acceso
+ Nombre de usuario
+ ID de directorio
+ ID de usuario
## Administrar IAM Identity Center en una región de activación opcional (región que está deshabilitada de forma predeterminada)
La mayoría Regiones de AWS están habilitadas para funcionar en todos los AWS servicios de forma predeterminada, pero debe habilitar las siguientes [regiones de suscripción](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion) si quiere utilizar el Centro de identidad de IAM:
+ África (Ciudad del Cabo)
+ Asia Pacific (Hong Kong)
+ Asia-Pacífico (Taipéi)
+ Asia-Pacífico (Hyderabad)
+ Asia-Pacífico (Yakarta)
+ Asia-Pacífico (Melbourne)
+ Asia-Pacífico (Malasia)
+ Asia-Pacífico (Nueva Zelanda)
+ Asia-Pacífico (Tailandia)
+ Oeste de Canadá (Calgary)
+ Europa (Milán)
+ Europa (España)
+ Europa (Zúrich)
+ Israel (Tel Aviv)
+ México (centro)
+ Middle East (Bahrain)
+ Medio Oriente (EAU)
Si implementa IAM Identity Center en una región de activación opcional, debe habilitar esta región en todas las cuentas para las que desee administrar el acceso a IAM Identity Center. Todas las cuentas necesitan esta configuración, independientemente de si va a crear recursos en esa región o no. Puede habilitar una región para las cuentas actuales de su organización y debe repetir esta acción cuando agrega cuentas nuevas. Para obtener instrucciones, consulte [Enable or disable a Region in your organization](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) en la *Guía del usuario de AWS Organizations *. Para evitar repetir estos pasos adicionales, puede optar por implementar su IAM Identity Center en una [Región habilitada de forma predeterminada](#regions-enabled-by-default).
**nota**
Su cuenta de AWS miembro debe estar habilitada en la misma región que la región en la que se encuentra su instancia del Centro de Identidad de IAM para que pueda acceder a la cuenta de AWS miembro desde el portal de acceso. AWS
**Metadatos almacenados en regiones de activación opcional**
Al habilitar el Centro de Identidad de IAM para una cuenta de administración en una suscripción voluntaria Región de AWS, los siguientes metadatos del Centro de Identidad de IAM correspondientes a cualquier cuenta de miembro se almacenan en la región.
+ ID de cuenta
+ Nombre de cuenta
+ Correo electrónico de la cuenta
+ Nombres de recursos de Amazon (ARNs) de las funciones de IAM que el Centro de Identidad de IAM crea en la cuenta del miembro
## Regiones de AWS que están habilitados de forma predeterminada
Las siguientes regiones están habilitadas de forma predeterminada, y puede habilitar IAM Identity Center en estas regiones.
+ Este de EE. UU. (Ohio)
+ Este de EE. UU. (Norte de Virginia)
+ Oeste de EE. UU. (Oregón)
+ Oeste de EE. UU. (Norte de California)
+ Europa (París)
+ América del Sur (São Paulo)
+ Asia-Pacífico (Mumbai)
+ Europa (Estocolmo)
+ Asia-Pacífico (Seúl)
+ Asia-Pacífico (Tokio)
+ Europa (Irlanda)
+ Europa (Fráncfort)
+ Europa (Londres)
+ Asia-Pacífico (Singapur)
+ Asia-Pacífico (Sídney)
+ Canadá (centro)
+ Asia-Pacífico (Osaka)
# Conmutación Regiones de AWS
Le recomendamos que instale IAM Identity Center en una región que desee mantener disponible para los usuarios, no en una región que pueda tener que deshabilitar. Para obtener más información, consulte [Consideraciones para elegir un Región de AWS](identity-center-region-considerations.md).
Para cambiar de región en IAM Identity Center, solo tiene que [eliminar la instancia actual de IAM Identity Center](delete-config.md) y crear una nueva en otra región. Si ya ha activado una aplicación administrada por AWS con su instancia existente de IAM Identity Center, desactive la aplicación antes de eliminarla de IAM Identity Center. Para obtener instrucciones sobre cómo deshabilitar las aplicaciones AWS administradas, consulte[Deshabilitar una aplicación AWS gestionada](awsapps-remove.md).
**nota**
Si está pensando en cambiar la región del centro de identidad de IAM para permitir el despliegue de una aplicación AWS gestionada en otra región, considere replicar la instancia del centro de identidad de IAM en esa región. Para obtener más información, consulte [Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md).
**Consideraciones de configuración en la nueva región**
Debe volver a crear los usuarios, los grupos, los conjuntos de permisos, las aplicaciones y las asignaciones en la nueva instancia de IAM Identity Center. Puede utilizar la asignación de cuentas y aplicaciones del IAM Identity Center [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)para obtener una instantánea de la configuración y, a continuación, utilizarla para volver a crear la configuración en una nueva región. Al cambiar a otra región, también se cambia la URL del [portal de AWS acceso](using-the-portal.md), lo que proporciona a los usuarios un acceso de inicio de sesión único a sus Cuentas de AWS aplicaciones. Es posible que también necesite volver a crear parte de la configuración de IAM Identity Center a través de la consola de administración de la nueva instancia.
# Deshabilitar un Región de AWS lugar donde el Centro de identidad de IAM esté activado
Si deshabilita uno Región de AWS en el que esté instalado el Centro de Identidad de IAM, el Centro de Identidad de IAM también estará deshabilitado. Una vez deshabilitado IAM Identity Center en una región, los usuarios de esa región no tendrán acceso mediante un inicio de sesión único a las Cuentas de AWS y sus aplicaciones.
Para volver a activar el Centro de Identidad de IAM de forma [opcional Regiones de AWS](regions.md#manually-enabled-regions), debe volver a activar la región. IAM Identity Center debe volver a procesar todos los eventos pausados, por lo que volver a habilitarlo puede llevar algún tiempo.
**nota**
El Centro de Identidad de IAM solo puede gestionar el acceso a aquellos Cuentas de AWS que estén habilitados para su uso en un. Región de AWS Para gestionar el acceso a todas las cuentas de su organización, active el Centro de identidad de IAM en la cuenta de gestión de forma Región de AWS que se active automáticamente para su uso con el Centro de identidades de IAM.
*Para obtener más información sobre la activación y la desactivación Regiones de AWS, consulte [Gestión Regiones de AWS en la AWS referencia general](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html).*
# Uso del IAM Identity Center únicamente para el acceso de los usuarios a las aplicaciones
Puede utilizar el Centro de identidad de IAM para que los usuarios accedan a aplicaciones como Kiro o a Cuentas de AWS ambas. Puede conectar su proveedor de identidad actual y sincronizar los usuarios y grupos de su directorio, o bien [crear y gestionar usuarios directamente en el IAM Identity Center](quick-start-default-idc.md). Para obtener información sobre cómo conectar su proveedor de identidad actual al IAM Identity Center, consulte el [Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md).
**¿Ya utilizas IAM para acceder a? Cuentas de AWS**
No necesita realizar ningún cambio en sus Cuenta de AWS flujos de trabajo actuales para utilizar el IAM Identity Center y acceder a las aplicaciones AWS gestionadas. Si utiliza la [federación con IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam) para el Cuenta de AWS acceso, sus usuarios pueden seguir Cuentas de AWS accediendo de la misma manera que siempre lo han hecho, y usted puede seguir utilizando sus flujos de trabajo actuales para gestionar ese acceso.
# Roles de IAM creados por IAM Identity Center
Al asignar un usuario a una AWS cuenta, el Centro de Identidad de IAM crea funciones de IAM para conceder a los usuarios permisos de acceso a los recursos.
Cuando asigna un conjunto de permisos, el IAM Identity Center crea los roles de IAM controlados por el IAM Identity Center correspondientes en cada cuenta y adjunta a esos roles las políticas especificadas en el conjunto de permisos. El Centro de Identidad de IAM administra la función y permite que los usuarios autorizados que haya definido la asuman mediante el portal de acceso o. AWS AWS CLI A medida que modifica el conjunto de permisos, IAM Identity Center garantiza que las políticas y los roles de IAM correspondientes se actualicen en consecuencia. La replicación de su instancia del IAM Identity Center en regiones adicionales no afecta a las funciones de IAM existentes ni crea nuevas funciones de IAM.
**nota**
Los conjuntos de permisos no se utilizan para conceder permisos a aplicaciones.
Si ya has configurado funciones de IAM en tu cuenta Cuenta de AWS, te recomendamos que compruebes si tu cuenta se acerca a la cuota de funciones de IAM. La cuota predeterminada de roles de IAM por cuenta es de 1000 roles. Para obtener más información, consulte [Cuotas de objetos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities).
Si se acerca a la cuota, considere solicitar un aumento de la cuota. De lo contrario, es posible que tenga problemas con IAM Identity Center al aprovisionar conjuntos de permisos a cuentas que hayan superado la cuota de roles de IAM. Para obtener información sobre cómo solicitar un aumento de cuota, consulte [Solicitar un aumento de cuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) en la *Guía del usuario de Service Quotas*.
**nota**
Si quiere revisar los roles de IAM en una cuenta que ya utiliza IAM Identity Center, es posible que observe que los nombres de rol comienzan por “AWSReservedSSO\$1”. Se trata de los roles que el servicio de IAM Identity Center ha creado en la cuenta y provienen de la asignación de un conjunto de permisos a la cuenta.
# Centro de identidad de IAM y AWS Organizations
AWS Organizations se recomienda, pero no es obligatorio, para su uso con el Centro de identidades de IAM. Si no ha configurado una organización, no tiene que hacerlo. Al activar el Centro de Identidad de IAM, elegirá si desea habilitar el servicio con. AWS Organizations Al configurar una organización, la cuenta Cuenta de AWS que la configura se convierte en la cuenta de administración de la organización. El usuario raíz de la Cuenta de AWS es ahora el propietario de la cuenta de administración de la organización. Todas las Cuentas de AWS adicionales que invite a su organización son cuentas de miembro. La cuenta de administración crea los recursos, las unidades organizativas y las políticas de la organización que administran las cuentas de miembro. La cuenta de administración delega los permisos a las cuentas de miembro.
**nota**
Le recomendamos que habilite el Centro de Identidad de IAM con AWS Organizations, lo que crea una instancia de organización del Centro de Identidad de IAM. Nuestra práctica recomendada es una instancia de organización, ya que es compatible con todas las características de IAM Identity Center y proporciona capacidades de administración centralizada. Para obtener más información, consulte [Instancias de organización de IAM Identity Center](organization-instances-identity-center.md).
Si ya ha configurado el Centro de Identidad de IAM AWS Organizations y lo va a añadir a su organización, asegúrese de que todas las AWS Organizations funciones estén habilitadas. Al crear una organización, las características se habilitan de manera predeterminada. Para obtener más información, consulte [Habilitar todas las características en la organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) en la *Guía del usuario de AWS Organizations *.
Para habilitar una instancia de organización del Centro de identidades de IAM, debe iniciar sesión en su cuenta de AWS Organizations administración como usuario con credenciales administrativas o como usuario raíz (no se recomienda a menos que no existan otros usuarios administrativos). Consola de administración de AWS Para obtener más información, consulte [Creación y administración de una AWS organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) en la *Guía del AWS Organizations usuario*.
Si ha iniciado sesión con las credenciales administrativas de una cuenta de AWS Organizations miembro, puede habilitar una instancia de cuenta del IAM Identity Center. Las instancias de cuentas tienen capacidades limitadas y están vinculadas a una sola AWS cuenta.