Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Istanze di organizzazione e account di IAM Identity Center
Un'istanza è una singola implementazione di IAM Identity Center. Sono disponibili due tipi di istanze per IAM Identity Center: istanze *organizzative e istanze* di *account*.
+ Istanza dell'organizzazione (consigliata)
Un'istanza di IAM Identity Center che abiliti nell'account di AWS Organizations gestione. Le istanze organizzative supportano tutte le funzionalità di IAM Identity Center. Ti consigliamo di implementare un'istanza organizzativa anziché istanze di account per ridurre al minimo il numero di punti di gestione.
+ Istanza dell'account
Un'istanza di IAM Identity Center associata a una singola Account AWS istanza e visibile solo all'interno della AWS regione Account AWS e della regione in cui è abilitata. Utilizza un'istanza di account per scenari più semplici con account singolo. Puoi abilitare un'istanza di account da una delle seguenti opzioni:
+ E Account AWS questo non è gestito da AWS Organizations
+ Un account membro in AWS Organizations
## Account AWS tipi che possono abilitare IAM Identity Center
Per abilitare IAM Identity Center, accedi a Console di gestione AWS utilizzando una delle seguenti credenziali, a seconda del tipo di istanza che desideri creare:
+ **Il tuo account di AWS Organizations gestione (consigliato)**: necessario per creare un'[istanza organizzativa](organization-instances-identity-center.md) di IAM Identity Center. Utilizza un'istanza organizzativa per le autorizzazioni multi-account e l'assegnazione di applicazioni in tutta l'organizzazione.
+ **Il tuo account AWS Organizations membro**: utilizza per creare un'[istanza di account](account-instances-identity-center.md) di IAM Identity Center per abilitare le assegnazioni delle applicazioni all'interno di quell'account membro. In un'organizzazione possono esistere uno o più account con un'istanza a livello di membro.
+ **Un'istanza autonoma Account AWS: da** utilizzare per creare un'[istanza organizzativa o un'istanza](organization-instances-identity-center.md) [di account](account-instances-identity-center.md) di IAM Identity Center. La versione standalone Account AWS non è gestita da. AWS OrganizationsÈ possibile associare solo un'istanza di IAM Identity Center a un'istanza standalone Account AWS e utilizzare tale istanza per le assegnazioni di applicazioni all'interno di tale istanza. Account AWS
Utilizza la tabella seguente per confrontare le funzionalità fornite dal tipo di istanza:
| Funzionalità | Istanza nell'account AWS Organizations di gestione (consigliata) | Istanza in un account membro | Istanza in modalità autonoma Account AWS |
| --- | --- | --- | --- |
| Gestisci gli utenti | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì |
| AWS portale di accesso per l'accesso Single Sign-On alle applicazioni gestite AWS | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì |
| OAuth applicazioni gestite dai clienti 2.0 (OIDC) | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì |
| Autorizzazioni per più account | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No |
| AWS portale di accesso per l'accesso Single Sign-On al Account AWS | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No |
| applicazioni gestite dai clienti SAML 2.0 | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No |
| L'amministratore delegato può gestire l'istanza | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No |
| Crittografia inattiva utilizzando una chiave KMS gestita dal cliente | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No |
| Replica di IAM Identity Center in altre regioni | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png)Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No | ![\[No\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-no.png)No |
Per ulteriori informazioni sulle applicazioni AWS gestite e IAM Identity Center, consulta[AWS applicazioni gestite che è possibile utilizzare con IAM Identity Center](awsapps-that-work-with-identity-center.md).
**Topics**
+ [Account AWS tipi che possono abilitare IAM Identity Center](#identity-center-instances-account-types)
+ [Istanze organizzative di IAM Identity Center](organization-instances-identity-center.md)
+ [Istanze account del Centro identità IAM](account-instances-identity-center.md)
+ [Elimina la tua istanza IAM Identity Center](delete-config.md)
# Istanze organizzative di IAM Identity Center
Quando abiliti IAM Identity Center insieme a AWS Organizations, crei un'istanza organizzativa di IAM Identity Center. L’istanza organizzazione deve essere abilitata nel proprio account di gestione ed è possibile gestire centralmente l’accesso di utenti e gruppi con un’unica istanza organizzazione. Puoi avere solo un'istanza organizzativa per ogni account di gestione in AWS Organizations.
Se hai abilitato IAM Identity Center prima del 15 novembre 2023, disponi di un'istanza organizzativa di IAM Identity Center.
Per abilitare un'istanza organizzativa di IAM Identity Center, consulta[Per abilitare un'istanza di IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance).
## Quando utilizzare un'istanza organizzativa
Un'istanza organizzativa è il metodo principale per abilitare IAM Identity Center e di solito è consigliata un'istanza organizzativa. Le istanze organizzative offrono i seguenti vantaggi:
+ **Supporto per tutte le funzionalità di IAM Identity Center**, inclusa la gestione delle autorizzazioni per più utenti dell'organizzazione, l'assegnazione dell'accesso alle applicazioni gestite dal cliente e la replica Account AWS in più regioni.
+ **Riduzione del numero di punti di gestione**: un'istanza organizzativa ha un unico punto di gestione, l'account di gestione. Si consiglia di abilitare un'istanza organizzativa, anziché un'istanza di account, per ridurre il numero di punti di gestione.
+ **Controllo centralizzato della creazione di istanze di account**: puoi controllare se le istanze di account possono essere create dagli account membri della tua organizzazione purché non abbia distribuito un'istanza di IAM Identity Center nell'organizzazione in una regione con consenso esplicito (Regione AWS che è disabilitata per impostazione predefinita).
Per istruzioni su come abilitare un'istanza organizzativa di IAM Identity Center, consulta. [Per abilitare un'istanza di IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance)
# Istanze account del Centro identità IAM
Con un'istanza di account di IAM Identity Center, puoi distribuire applicazioni AWS gestite supportate e applicazioni gestite dai clienti basate su OIDC. Le istanze di account supportano implementazioni isolate di applicazioni in un'unica soluzione Account AWS, sfruttando le funzionalità del portale di accesso e di identità della forza lavoro di IAM Identity Center.
Le istanze di account sono associate a un'unica istanza Account AWS e vengono utilizzate solo per gestire l'accesso di utenti e gruppi alle applicazioni supportate nello stesso account e. Regione AWS Sei limitato a un'istanza di account per. Account AWS Puoi creare un'istanza di account da una delle seguenti opzioni: un account membro in AWS Organizations o un account autonomo Account AWS non gestito da AWS Organizations.
Per istruzioni su come abilitare un'istanza di account di IAM Identity Center, consulta [Per abilitare un'istanza di IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance) e scegli la scheda **Account**.
## Quando utilizzare un'istanza di account
Nella maggior parte dei casi, è consigliata un'[istanza organizzativa](organization-instances-identity-center.md). Utilizza le istanze dell'account solo se si applica uno dei seguenti scenari:
+ Desideri eseguire una versione di prova temporanea di un'applicazione AWS gestita supportata per determinare se l'applicazione soddisfa le tue esigenze aziendali.
+ Non hai intenzione di adottare IAM Identity Center nella tua organizzazione, ma desideri supportare una o più applicazioni AWS gestite.
+ Disponi di un'istanza organizzativa di IAM Identity Center, ma desideri distribuire un'applicazione AWS gestita supportata a un set isolato di utenti distinti dagli utenti dell'istanza della tua organizzazione.
+ Non hai il controllo dell' AWS organizzazione in cui operi. Ad esempio, una terza parte controlla l' AWS organizzazione che gestisce la tua Account AWS.
**Importante**
Se prevedi di utilizzare IAM Identity Center per supportare applicazioni su più account, utilizza un'istanza dell'organizzazione. Le istanze di account non supportano questo caso d'uso.
## AWS applicazioni gestite che supportano le istanze di account
Scopri quali applicazioni AWS gestite supportano le istanze di account di IAM Identity Center. [AWS applicazioni gestite che è possibile utilizzare con IAM Identity Center](awsapps-that-work-with-identity-center.md) Verifica la disponibilità della creazione di istanze di account con la tua applicazione AWS gestita.
## Vincoli di disponibilità per gli account dei membri
Per distribuire le istanze di account di IAM Identity Center negli account dei AWS Organizations membri, deve essere soddisfatta una delle seguenti condizioni:
+ Non esiste un'istanza organizzativa di IAM Identity Center nell'organizzazione.
+ Nell'organizzazione è presente un'istanza organizzativa di IAM Identity Center e l'amministratore dell'istanza consente la creazione di istanze di account di IAM Identity Center (per le istanze dell'organizzazione create dopo il 15 novembre 2023).
+ Nell'organizzazione è presente un'istanza organizzativa di IAM Identity Center e l'amministratore dell'istanza ha abilitato manualmente la creazione di istanze di account da parte degli account dei membri dell'organizzazione (per le istanze dell'organizzazione create prima del 15 novembre 2023). Per istruzioni, consulta [Consenti la creazione di istanze di account negli account dei membri](enable-account-instance-console.md).
Una volta soddisfatta una delle condizioni precedenti, devono essere soddisfatte tutte le seguenti condizioni:
+ L'amministratore non ha creato una [politica di controllo dei servizi](control-account-instance.md) che impedisca agli account dei membri di creare istanze di account.
+ Non hai già un'istanza di IAM Identity Center nello stesso account, a prescindere da. Regione AWS
+ Stai lavorando in un ambiente in Regione AWS cui è disponibile IAM Identity Center. Per informazioni sulle regioni, consulta[Archiviazione e operazioni dei dati della regione IAM Identity Center](regions.md).
## Considerazioni sull'istanza dell'account
Un'istanza di account è progettata per casi d'uso specializzati e offre un sottoinsieme di funzionalità disponibili per un'istanza organizzativa. Considerate quanto segue prima di creare un'istanza di account:
+ Le istanze di account non supportano i set di autorizzazioni e pertanto non supportano l'accesso a Account AWS.
+ Non è possibile convertire o unire un'istanza di account in un'istanza dell'organizzazione.
+ Solo alcune [applicazioni AWS gestite supportano le](awsapps-that-work-with-identity-center.md) istanze di account.
+ Utilizza istanze di account per utenti isolati che utilizzeranno le applicazioni in un solo account e per tutta la durata delle applicazioni utilizzate.
+ Le applicazioni collegate a un'istanza di account devono rimanere collegate all'istanza dell'account fino a quando non si eliminano l'applicazione e le relative risorse.
+ Un'istanza di account deve rimanere nella posizione Account AWS in cui è stata creata.
# Consenti la creazione di istanze di account negli account dei membri
Se hai abilitato IAM Identity Center prima del 15 novembre 2023, hai un'[istanza organizzativa](organization-instances-identity-center.md) di IAM Identity Center con la possibilità per gli account membro di creare istanze di account disabilitata per impostazione predefinita. Puoi scegliere se i tuoi account membro possono creare istanze di account abilitando la funzionalità di istanza dell'account nella console IAM Identity Center.
**Per consentire la creazione di istanze di account da parte degli account dei membri dell'organizzazione**
**Importante**
L'abilitazione delle istanze di account di IAM Identity Center per gli account dei membri è un'operazione una tantum. Ciò significa che questa operazione non può essere annullata. Una volta abilitata, puoi limitare la creazione di istanze di account creando una policy di controllo del servizio (SCP). Per istruzioni, consulta [Controllare la creazione di istanze di account con Services Control](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html) Policies.
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Scegli **Impostazioni**, quindi scegli la scheda **Gestione**.
1. Nella sezione **Istanze di account di IAM Identity Center**, seleziona **Abilita le istanze di account di IAM Identity** Center.
1. **Nella finestra di dialogo **Abilita le istanze di account di IAM Identity Center**, conferma di voler consentire agli account dei membri della tua organizzazione di creare istanze di account selezionando Abilita.**
# Utilizza le politiche di controllo dei servizi per controllare la creazione delle istanze dell'account
La capacità degli account membri di creare istanze di account dipende da quando hai abilitato IAM Identity Center:
+ **Prima di novembre 2023**: devi [consentire la creazione di istanze di account negli account dei membri](enable-account-instance-console.md), un'azione che non può essere annullata.
+ **Dopo il 15 novembre 2023: per impostazione predefinita,** gli account dei membri possono creare istanze di account.
In entrambi i casi, puoi utilizzare Service Control Policies (SCPs) per:
+ Impedire a tutti gli account dei membri di creare istanze di account.
+ Consenti solo ad account membri specifici di creare istanze di account.
## Impedisci le istanze dell'account
Utilizza la seguente procedura per generare un SCP che impedisca agli account dei membri di creare istanze di account di IAM Identity Center.
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Nella **Dashboard**, nella sezione **Gestione centrale**, seleziona il pulsante **Impedisci le istanze dell'account**.
1. Nella finestra di dialogo **Allega SCP per impedire la creazione di nuove istanze di account**, viene fornito un SCP. Copia l'SCP e scegli il pulsante **Vai** al pannello di controllo di SCP. Verrai indirizzato alla [AWS Organizations console](https://console.aws.amazon.com/organizations/v2) per creare l'SCP o allegarlo come dichiarazione a un SCP esistente. SCPs sono una funzionalità di. AWS Organizations*Per istruzioni su come allegare un SCP, consulta [Allegare e scollegare le politiche di controllo del servizio](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) nella Guida per l'utente.AWS Organizations *
## Limita le istanze dell'account
Invece di impedire la creazione di tutte le istanze di account, questa policy impedisce qualsiasi tentativo di creare un'istanza di account di IAM Identity Center per tutti Account AWS tranne quelli esplicitamente elencati nel segnaposto. *""*
**Example : Nega la politica per limitare la creazione di istanze di account**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ Sostituisci [*""*] con gli Account AWS ID effettivi a cui desideri consentire la creazione di un'istanza di account di IAM Identity Center.
+ Puoi elencare più account consentiti IDs nel formato array: [*"111122223333", "444455556666"*].
+ Allega questa policy all'SCP della tua organizzazione per imporre il controllo centralizzato sulla creazione di istanze di account IAM Identity Center.
*Per istruzioni su come allegare un SCP, consulta [Allegare e scollegare le politiche di controllo del servizio nella Guida per l'utente](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html).AWS Organizations *
# Elimina la tua istanza IAM Identity Center
Quando un'istanza IAM Identity Center viene eliminata, tutti i dati in quell'istanza vengono eliminati e non possono essere recuperati. La tabella seguente descrive quali dati vengono eliminati in base al tipo di directory configurata in IAM Identity Center.
| Quali dati vengono eliminati | Directory connessa - AWS Managed Microsoft AD, AD Connector o provider di identità esterno | Archivio di identità IAM Identity Center |
| --- | --- | --- |
| Tutti i set di autorizzazioni per cui hai configurato Account AWS | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì |
| Tutte le applicazioni che hai configurato in IAM Identity Center | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì |
| Tutte le assegnazioni utente Account AWS e le applicazioni che hai configurato | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì |
| Tutti gli utenti e i gruppi presenti nella directory o nell'archivio | N/D | ![\[Yes\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/images/icon-yes.png) Sì |
Se hai replicato l'istanza di IAM Identity Center in regioni aggiuntive, devi rimuovere tali regioni prima di eliminare l'istanza.
Utilizza la seguente procedura per eliminare l'istanza di IAM Identity Center.
**Per eliminare la tua istanza IAM Identity Center**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Nel riquadro di navigazione a sinistra scegliere **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Gestione**.
1. Nella sezione **Elimina la configurazione di IAM Identity Center**, scegli **Elimina**.
1. Nella finestra di dialogo **Elimina la configurazione di IAM Identity Center**, seleziona ogni casella di controllo per confermare di aver compreso che i tuoi dati verranno eliminati. Digita l'istanza di IAM Identity Center nella casella di testo, quindi scegli **Conferma**.