Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Prerequisiti e considerazioni di IAM Identity Center
Puoi utilizzare IAM Identity Center per accedere solo alle applicazioni AWS gestite, Account AWS solo o entrambe. Se utilizzi la federazione IAM per gestire l'accesso a Account AWS, puoi continuare a farlo utilizzando IAM Identity Center per l'accesso alle applicazioni.
Prima di abilitare IAM Identity Center, considera quanto segue:
+ AWS Regione
Per prima cosa abiliti IAM Identity Center in un'unica regione [supportata](regions.md) per ogni istanza di IAM Identity Center. Se desideri utilizzare IAM Identity Center per l'accesso Single Sign-On agli AWS account, la regione deve essere accessibile a tutti gli utenti della tua organizzazione. Se prevedi di utilizzare IAM Identity Center per l'accesso alle applicazioni, tieni presente che alcune applicazioni AWS gestite, come Amazon SageMaker AI, possono funzionare solo nelle regioni che supportano. Inoltre, la maggior parte delle applicazioni AWS gestite richiede che IAM Identity Center sia disponibile nella stessa regione dell'applicazione. Ciò può essere ottenuto collocandole nella stessa regione o, se supportata, replicando l'istanza di IAM Identity Center nella regione di distribuzione desiderata di un' AWS applicazione gestita. Per ulteriori informazioni, consulta [Considerazioni per la scelta di un Regione AWS](identity-center-region-considerations.md).
+ Solo accesso alle applicazioni
Puoi utilizzare IAM Identity Center solo per l'accesso degli utenti ad applicazioni come Kiro, utilizzando il tuo provider di identità esistente. Per ulteriori informazioni, consulta [Utilizzo di IAM Identity Center solo per l'accesso degli utenti alle applicazioni](identity-center-for-apps-only.md).
**Nota**
L'accesso alle risorse dell'applicazione è gestito in modo indipendente dal proprietario dell'applicazione.
+ Quota per i ruoli IAM
IAM Identity Center crea ruoli IAM per fornire agli utenti le autorizzazioni per accedere alle risorse dell'account. Per ulteriori informazioni, consulta [Ruoli IAM creati da IAM Identity Center](identity-center-and-iam-roles.md).
+ IAM Identity Center e AWS Organizations
AWS Organizations è consigliato, ma non obbligatorio, per l'uso con IAM Identity Center. Se non hai creato un'organizzazione, non è necessario. Se hai già configurato AWS Organizations e intendi aggiungere IAM Identity Center alla tua organizzazione, assicurati che tutte le AWS Organizations funzionalità siano abilitate. Per ulteriori informazioni, consulta [IAM Identity Center e AWS Organizations](identity-center-and-orgs.md).
Le interfacce web di IAM Identity Center, tra cui il portale di accesso e la console IAM Identity Center, sono pensate per essere accessibili agli esseri umani tramite i browser Web supportati. I browser compatibili includono le ultime tre versioni di Microsoft Edge, Mozilla Firefox, Google Chrome e Apple Safari. L'accesso a questi endpoint utilizzando percorsi non basati su browser non è supportato. Per l'accesso programmatico ai servizi IAM Identity Center, consigliamo di utilizzare la documentazione APIs disponibile nelle guide di riferimento delle API IAM Identity Center e Identity Store.
# Considerazioni per la scelta di un Regione AWS
Puoi abilitare IAM Identity Center in un'unica soluzione, supportata Regione AWS a tua scelta e disponibile per gli utenti di tutto il mondo. Questa disponibilità globale semplifica la configurazione dell'accesso degli utenti a più Account AWS applicazioni. Di seguito sono riportate le considerazioni chiave per la scelta di un Regione AWS.
+ **Posizione geografica dei tuoi utenti**: quando selezioni una regione geograficamente più vicina alla maggior parte dei tuoi utenti finali, questi avranno una latenza di accesso inferiore al portale di accesso e AWS alle applicazioni AWS gestite, come Amazon AI. SageMaker
+ Regioni di **attivazione (regioni disabilitate per impostazione predefinita)**: una regione opt-in è una Regione AWS regione disabilitata per impostazione predefinita. Per utilizzare una regione che richiede l'attivazione, è necessario abilitarla. Per ulteriori informazioni, consulta [Managing IAM Identity Center in una regione opt-in](regions.md#manually-enabled-regions).
+ **Replica di IAM Identity Center in altre regioni**: se prevedi di replicare IAM Identity Center in altre regioni Regioni AWS, devi scegliere una regione abilitata per impostazione predefinita. Per ulteriori informazioni, consulta [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md).
+ **Scelta delle regioni di distribuzione per le applicazioni AWS AWS gestite**: le applicazioni gestite possono funzionare solo nelle aree Regioni AWS in cui sono disponibili. Molte applicazioni AWS gestite possono inoltre funzionare solo in una regione in cui è abilitato o replicato IAM Identity Center (regione principale o aggiuntiva). Per confermare se l'istanza di IAM Identity Center supporta la replica in regioni aggiuntive, consulta. [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md) Se la replica non è un'opzione, valuta la possibilità di abilitare IAM Identity Center nella regione in cui prevedi di utilizzare le applicazioni AWS gestite.
+ **Sovranità digitale**: le normative sulla sovranità digitale o le politiche aziendali possono imporre l'uso di una particolare. Regione AWS Rivolgiti all'ufficio legale della tua azienda.
+ **Origine dell'identità**: se utilizzi [AWS Managed Microsoft AD](connectawsad.md)o la tua directory gestita automaticamente in Active [Directory (AD)](connectonpremad.md) come origine dell'identità, la sua regione di origine deve corrispondere Regione AWS a quella in cui hai abilitato IAM Identity Center.
+ Email **interregionali con Amazon Simple Email Service**: in alcune regioni, IAM Identity Center può chiamare [Amazon Simple Email Service (Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)) in un'altra regione per inviare e-mail. In queste chiamate interregionali, IAM Identity Center invia determinati attributi utente all'altra regione. Per ulteriori informazioni, consulta [Email interregionali con Amazon SES](regions.md#cross-region-calls).
+ **AWS Control Tower**— Se stai abilitando un'istanza organizzativa di IAM Identity Center da AWS Control Tower, l'istanza verrà creata nella stessa regione della AWS Control Tower landing zone.
**Topics**
+ [Archiviazione e operazioni dei dati della regione IAM Identity Center](regions.md)
+ [Cambio Regioni AWS](switching-regions.md)
+ [Disabilitazione di un Regione AWS punto in cui IAM Identity Center è abilitato](disabling-region-with-identity-center.md)
# Archiviazione e operazioni dei dati della regione IAM Identity Center
Scopri come IAM Identity Center gestisce l'archiviazione e le operazioni dei dati in tutto il mondo Regioni AWS.
## Scopri come IAM Identity Center archivia i dati
Quando abiliti IAM Identity Center, tutti i dati che configuri in IAM Identity Center vengono archiviati nella regione in cui li hai abilitati. Questi dati includono configurazioni di directory, set di autorizzazioni, istanze di applicazioni e assegnazioni di utenti alle applicazioni. Account AWS Se utilizzi l'archivio di identità IAM Identity Center, anche tutti gli utenti e i gruppi che crei in IAM Identity Center vengono archiviati nella stessa regione. Se replichi l'istanza di IAM Identity Center in regioni aggiuntive, IAM Identity Center replica automaticamente utenti, gruppi, set di autorizzazioni e relative assegnazioni e altri metadati e configurazioni in tali regioni.
## Email interregionali con Amazon SES
IAM Identity Center utilizza [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) per inviare e-mail agli utenti finali quando tentano di accedere con una password monouso (OTP) come secondo fattore di autenticazione. Queste e-mail vengono inviate anche per determinati eventi di gestione di identità e credenziali, ad esempio quando l'utente viene invitato a configurare una password iniziale, a verificare un indirizzo e-mail e a reimpostare la password. Amazon SES è disponibile in un sottoinsieme di Regioni AWS quelli supportati da IAM Identity Center.
IAM Identity Center chiama gli endpoint locali di Amazon SES quando Amazon SES è disponibile localmente in un Regione AWS. Quando Amazon SES non è disponibile localmente, IAM Identity Center chiama gli endpoint Amazon SES in un altro modo Regione AWS, come indicato nella tabella seguente.
| Codice regionale IAM Identity Center | Nome della regione IAM Identity Center | Codice regionale Amazon SES | Nome della regione Amazon SES |
| --- | --- | --- | --- |
| ap-east-1 | Asia Pacifico (Hong Kong) | ap-northeast-2 | Asia Pacifico (Seul) |
| ap-east-2 | Asia Pacifico (Taipei) | ap-northeast-1 | Asia Pacifico (Tokyo) |
| ap-south-2 | Asia Pacifico (Hyderabad) | ap-south-1 | Asia Pacifico (Mumbai) |
| ap-southeast-4 | Asia Pacifico (Melbourne) | ap-southeast-2 | Asia Pacifico (Sydney) |
| ap-southeast-5 | Asia Pacifico (Malesia) | ap-southeast-1 | Asia Pacifico (Singapore) |
| ap-southeast-6 | Asia Pacifico (Nuova Zelanda) | ap-southeast-2 | Asia Pacifico (Sydney) |
| ap-southeast-7 | Asia Pacifico (Thailandia) | ap-northeast-3 | Asia Pacifico (Osaka) |
| ca-west-1 | Canada occidentale (Calgary) | ca-central-1 | Canada (Centrale) |
| eu-south-2 | Europa (Spagna) | eu-west-3 | Europa (Parigi) |
| eu-central-2 | Europa (Zurigo) | eu-central-1 | Europa (Francoforte) |
| mx-central-1 | Messico (centrale) | us-east-2 | Stati Uniti orientali (Ohio) |
| me-central-1 | Medio Oriente (Emirati Arabi Uniti) | eu-central-1 | Europa (Francoforte) |
| us-gov-east-1 | AWS GovCloud (Stati Uniti orientali) | us-gov-west-1 | AWS GovCloud (Stati Uniti occidentali) |
In queste chiamate interregionali, IAM Identity Center potrebbe inviare i seguenti attributi utente:
+ Indirizzo e-mail
+ Nome
+ Cognome
+ Account in AWS Organizations
+ AWS accedere all'URL del portale
+ Username
+ ID della directory
+ ID utente
## Gestione di IAM Identity Center in una regione opzionale (regione disabilitata per impostazione predefinita)
La Regioni AWS maggior parte è abilitata per le operazioni in tutti i AWS servizi per impostazione predefinita, ma è necessario abilitare le seguenti [regioni opt-in](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion) se si desidera utilizzare IAM Identity Center:
+ Africa (Città del Capo)
+ Asia Pacifico (Hong Kong)
+ Asia Pacifico (Taipei)
+ Asia Pacifico (Hyderabad)
+ Asia Pacifico (Giacarta)
+ Asia Pacifico (Melbourne)
+ Asia Pacifico (Malesia)
+ Asia Pacifico (Nuova Zelanda)
+ Asia Pacifico (Thailandia)
+ Canada occidentale (Calgary)
+ Europa (Milano)
+ Europa (Spagna)
+ Europa (Zurigo)
+ Israele (Tel Aviv)
+ Messico (centrale)
+ Medio Oriente (Bahrein)
+ Medio Oriente (Emirati Arabi Uniti)
Se distribuisci IAM Identity Center in una regione opzionale, devi abilitare questa regione in tutti gli account per i quali desideri gestire l'accesso a IAM Identity Center. Tutti gli account necessitano di questa configurazione, indipendentemente dal fatto che tu crei o meno risorse in quella regione. Puoi abilitare una regione per gli account correnti della tua organizzazione e devi ripetere questa azione quando aggiungi nuovi account. Per istruzioni, consulta [Abilitare o disabilitare una regione nella tua organizzazione](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) nella *Guida AWS Organizations per l'utente*. Per evitare di ripetere questi passaggi aggiuntivi, puoi scegliere di implementare il tuo IAM Identity Center in una [regione abilitata per impostazione predefinita](#regions-enabled-by-default).
**Nota**
Il tuo account AWS membro deve essere inserito nella stessa regione della regione di attivazione in cui si trova l'istanza IAM Identity Center, in modo da poter accedere all'account del AWS membro dal portale di accesso. AWS
**Metadati archiviati nelle regioni che accettano l'iscrizione**
Quando abiliti IAM Identity Center per un account di gestione con un opt-in Regione AWS, i seguenti metadati IAM Identity Center per tutti gli account membro vengono archiviati nella regione.
+ ID account
+ Account name (Nome account)
+ Email dell'account
+ Amazon Resource Names (ARNs) dei ruoli IAM creati da IAM Identity Center nell'account del membro
## Regioni AWS che sono abilitati per impostazione predefinita
Le seguenti regioni sono abilitate per impostazione predefinita ed è possibile abilitare IAM Identity Center in queste regioni.
+ Stati Uniti orientali (Ohio)
+ Stati Uniti orientali (Virginia settentrionale)
+ Stati Uniti occidentali (Oregon)
+ Stati Uniti occidentali (California settentrionale)
+ Europa (Parigi)
+ Sud America (San Paolo)
+ Asia Pacifico (Mumbai)
+ Europa (Stoccolma)
+ Asia Pacifico (Seul)
+ Asia Pacifico (Tokyo)
+ Europa (Irlanda)
+ Europa (Francoforte)
+ Europa (Londra)
+ Asia Pacifico (Singapore)
+ Asia Pacifico (Sydney)
+ Canada (Centrale)
+ Asia Pacifico (Osaka)
# Cambio Regioni AWS
Ti consigliamo di installare IAM Identity Center in una regione che intendi mantenere disponibile per gli utenti, non in una regione che potresti dover disabilitare. Per ulteriori informazioni, consulta [Considerazioni per la scelta di un Regione AWS](identity-center-region-considerations.md).
Puoi cambiare la tua regione di IAM Identity Center solo [eliminando l'istanza corrente di IAM Identity Center](delete-config.md) e creando un'istanza in un'altra regione. Se hai già abilitato un'applicazione AWS gestita con l'istanza IAM Identity Center esistente, disabilita l'applicazione prima di eliminare IAM Identity Center. Per istruzioni sulla disabilitazione delle applicazioni AWS gestite, consulta. [Disabilitazione di un'applicazione gestita AWS](awsapps-remove.md)
**Nota**
Se stai pensando di cambiare la tua regione di IAM Identity Center per consentire la distribuzione di un'applicazione AWS gestita in un'altra regione, prendi in considerazione la possibilità di replicare l'istanza di IAM Identity Center in quella regione. Per ulteriori informazioni, consulta [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md).
**Considerazioni sulla configurazione nella nuova regione**
È necessario ricreare utenti, gruppi, set di autorizzazioni, applicazioni e assegnazioni nella nuova istanza di IAM Identity Center. Puoi utilizzare l'account IAM Identity Center e l'assegnazione dell'applicazione [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)per ottenere un'istantanea della configurazione e quindi utilizzarla per ricostruire la configurazione in una nuova regione. Il passaggio a una regione diversa modifica anche l'URL del [portale di AWS accesso](using-the-portal.md), che fornisce agli utenti l'accesso Single Sign-On alle proprie applicazioni. Account AWS Potrebbe inoltre essere necessario ricreare alcune configurazioni di IAM Identity Center tramite la console di gestione della nuova istanza.
# Disabilitazione di un Regione AWS punto in cui IAM Identity Center è abilitato
Se si disabilita un sistema Regione AWS in cui è installato IAM Identity Center, viene disabilitato anche IAM Identity Center. Dopo che IAM Identity Center è stato disabilitato in una regione, gli utenti di quella regione non avranno accesso Single Sign-On Account AWS alle applicazioni.
Per riattivare IAM Identity Center in [modalità opt-in Regioni AWS](regions.md#manually-enabled-regions), devi riattivare la regione. Poiché IAM Identity Center deve rielaborare tutti gli eventi in pausa, la riattivazione di IAM Identity Center potrebbe richiedere del tempo.
**Nota**
IAM Identity Center può gestire l'accesso solo a Account AWS quelli abilitati per l'uso in un. Regione AWS Per gestire l'accesso a tutti gli account della tua organizzazione, abilita IAM Identity Center nell'account di gestione in un account Regione AWS che viene attivato automaticamente per l'uso con IAM Identity Center.
Per ulteriori informazioni sull'attivazione e la disabilitazione Regioni AWS, consulta [Managing Regioni AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) nella *Guida AWS generale.*
# Utilizzo di IAM Identity Center solo per l'accesso degli utenti alle applicazioni
Puoi utilizzare IAM Identity Center per l'accesso degli utenti ad applicazioni come Kiro o a Account AWS entrambe. Puoi connettere il tuo provider di identità esistente e sincronizzare utenti e gruppi dalla tua directory, oppure [creare e gestire gli utenti direttamente in IAM Identity Center](quick-start-default-idc.md). Per informazioni su come connettere il tuo provider di identità esistente a IAM Identity Center, consulta il[Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md).
**Usi già IAM per l'accesso a Account AWS?**
Non è necessario apportare modifiche ai Account AWS flussi di lavoro correnti per utilizzare IAM Identity Center per accedere alle applicazioni AWS gestite. Se utilizzi la [federazione con IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam) per Account AWS l'accesso, i tuoi utenti possono continuare ad accedere Account AWS nello stesso modo in cui hanno sempre fatto e tu puoi continuare a utilizzare i flussi di lavoro esistenti per gestire tale accesso.
# Ruoli IAM creati da IAM Identity Center
Quando assegni un utente a un AWS account, IAM Identity Center crea ruoli IAM per fornire agli utenti le autorizzazioni per accedere alle risorse.
Quando assegni un set di autorizzazioni, IAM Identity Center crea i ruoli IAM corrispondenti controllati da IAM Identity Center in ciascun account e associa le policy specificate nel set di autorizzazioni a tali ruoli. IAM Identity Center gestisce il ruolo e consente agli utenti autorizzati che hai definito di assumere il ruolo, utilizzando il portale di accesso o. AWS AWS CLI Man mano che modifichi il set di autorizzazioni, IAM Identity Center garantisce che le politiche e i ruoli IAM corrispondenti vengano aggiornati di conseguenza. La replica dell'istanza IAM Identity Center in regioni aggiuntive non influisce sui ruoli IAM esistenti e non crea nuovi ruoli IAM.
**Nota**
I set di autorizzazioni non vengono utilizzati per concedere autorizzazioni alle applicazioni.
Se hai già configurato i ruoli IAM nel tuo account Account AWS, ti consigliamo di verificare se il tuo account si sta avvicinando alla quota per i ruoli IAM. La quota predefinita per i ruoli IAM per account è di 1000 ruoli. Per ulteriori informazioni, consulta le [quote degli oggetti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities).
Se ti stai avvicinando alla quota, prendi in considerazione la possibilità di richiedere un aumento della quota. In caso contrario, potresti riscontrare problemi con IAM Identity Center quando fornisci set di autorizzazioni agli account che hanno superato la quota di ruoli IAM. Per informazioni su come richiedere un aumento della quota, vedere [Richiedere un aumento della quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) nella *Service Quotas* User Guide.
**Nota**
Se stai esaminando i ruoli IAM in un account che utilizza già IAM Identity Center, potresti notare che i nomi dei ruoli iniziano con. “AWSReservedSSO\$1” Questi sono i ruoli che il servizio IAM Identity Center ha creato nell'account e derivano dall'assegnazione di un set di autorizzazioni all'account.
# IAM Identity Center e AWS Organizations
AWS Organizations è consigliato, ma non obbligatorio, per l'uso con IAM Identity Center. Se non hai creato un'organizzazione, non è necessario. Quando abiliti IAM Identity Center, sceglierai se abilitare il servizio con AWS Organizations. Quando configuri un'organizzazione, l'account Account AWS che configura l'organizzazione diventa l'account di gestione dell'organizzazione. L'utente root di Account AWS è ora il proprietario dell'account di gestione dell'organizzazione. Tutti gli altri Account AWS che inviti a far parte della tua organizzazione sono account utente. L'account di gestione crea le risorse, le unità organizzative e le politiche dell'organizzazione che gestiscono gli account dei membri. Le autorizzazioni vengono delegate agli account dei membri dall'account di gestione.
**Nota**
Ti consigliamo di abilitare IAM Identity Center con AWS Organizations, che crea un'istanza organizzativa di IAM Identity Center. Un'istanza organizzativa è la nostra best practice consigliata perché supporta tutte le funzionalità di IAM Identity Center e fornisce funzionalità di gestione centralizzate. Per ulteriori informazioni, consulta [Istanze organizzative di IAM Identity Center](organization-instances-identity-center.md).
Se hai già configurato AWS Organizations e intendi aggiungere IAM Identity Center alla tua organizzazione, assicurati che tutte le AWS Organizations funzionalità siano abilitate. Quando si crea un'organizzazione, l'abilitazione di tutte le caratteristiche è l'impostazione predefinita. Per ulteriori informazioni, consulta la sezione [Abilitazione di tutte le caratteristiche nell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) nella *Guida per l'utente di AWS Organizations *.
Per abilitare un'istanza organizzativa di IAM Identity Center, devi accedere a IAM Identity Center Console di gestione AWS accedendo al tuo account di AWS Organizations gestione come utente con credenziali amministrative o come utente root (opzione non consigliata a meno che non esistano altri utenti amministrativi). Per ulteriori informazioni, consulta [Creazione e gestione di un' AWS organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) nella *Guida per l'AWS Organizations utente*.
Se accedi con credenziali amministrative da un account AWS Organizations membro, puoi abilitare un'istanza di account di IAM Identity Center. Le istanze di account hanno funzionalità limitate e sono associate a un singolo AWS account.