As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Instâncias de organização e de conta do IAM Identity Center
<a name="identity-center-instances"></a>

Uma instância é uma implantação única do IAM Identity Center. Há dois tipos de instâncias disponíveis para o IAM Identity Center: *instâncias de organização* e *instâncias de conta*.
+ Instância de organização (recomendada)

  Uma instância do IAM Identity Center que você ativa na conta AWS Organizations de gerenciamento. As instâncias da organização suportam todos os recursos do IAM Identity Center. Recomendamos que você implante uma instância de organização em vez de instâncias de conta para minimizar o número de pontos de gerenciamento. 
+ Instância de conta

  Uma instância do IAM Identity Center vinculada a uma única Conta da AWS e visível somente na Conta da AWS AWS região em que está ativada. Use uma instância de conta para cenários mais simples e de conta única. Você pode habilitar uma instância de conta em: 
  + E Conta da AWS isso não é gerenciado por AWS Organizations
  + Uma conta de membro em AWS Organizations

## Conta da AWS tipos que podem habilitar o IAM Identity Center
<a name="identity-center-instances-account-types"></a>

Para habilitar o IAM Identity Center, faça login no Console de gerenciamento da AWS usando uma das seguintes credenciais, dependendo do tipo de instância que você deseja criar:
+ **Sua conta AWS Organizations de gerenciamento (recomendada)** — necessária para criar uma [instância organizacional](organization-instances-identity-center.md) do IAM Identity Center. Use uma instância de organização para permissões multicontas e atribuições de aplicações em toda a organização.
+ **Sua conta de AWS Organizations membro** — Use para criar uma [instância de conta](account-instances-identity-center.md) do IAM Identity Center para permitir atribuições de aplicativos dentro dessa conta de membro. Pode haver uma ou mais contas com uma instância de nível de membro em uma organização.
+ **Autônomo Conta da AWS** — Use para criar uma [instância organizacional ou instância](organization-instances-identity-center.md) de [conta](account-instances-identity-center.md) do IAM Identity Center. O autônomo Conta da AWS não é gerenciado por AWS Organizations. Você pode associar somente uma instância do IAM Identity Center a uma instância autônoma Conta da AWS e usar essa instância para atribuições de aplicativos dentro dessa instância autônoma. Conta da AWS

Use a tabela a seguir para comparar os recursos fornecidos pelo tipo de instância:


| Recurso | Instância na conta AWS Organizations de gerenciamento (recomendado) | Instância em uma conta-membro | Instância em uma instância autônoma Conta da AWS | 
| --- | --- | --- | --- | 
| Gerenciar usuários |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | 
| AWS portal de acesso para acesso com login único aos seus aplicativos AWS gerenciados |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | 
| OAuth Aplicativos 2.0 (OIDC) gerenciados pelo cliente |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png)Sim | ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png)Sim | 
| Permissões multicontas |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |  ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não |  ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | 
| AWS portal de acesso para acesso com login único ao seu Contas da AWS |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |  ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não |  ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | 
| Aplicações SAML 2.0 gerenciadas pelo cliente |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |  ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não |  ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | 
| O administrador delegado pode gerenciar a instância |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |  ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não |  ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | 
| Criptografia em repouso usando uma chave KMS gerenciada pelo cliente |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |  ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não |  ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | 
| Replicando o IAM Identity Center para regiões adicionais |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim |  ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não |  ![\[No\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-no.png) Não | 

Para obter mais informações sobre aplicativos AWS gerenciados e o IAM Identity Center, consulte[AWS aplicativos gerenciados que você pode usar com o IAM Identity Center](awsapps-that-work-with-identity-center.md).

**Topics**
+ [Conta da AWS tipos que podem habilitar o IAM Identity Center](#identity-center-instances-account-types)
+ [Instâncias de organização do IAM Identity Center](organization-instances-identity-center.md)
+ [Instâncias de conta do Centro de Identidade do IAM](account-instances-identity-center.md)
+ [Excluir sua instância do IAM Identity Center](delete-config.md)

# Instâncias de organização do IAM Identity Center
<a name="organization-instances-identity-center"></a>

Ao habilitar o IAM Identity Center em conjunto com AWS Organizations, você está criando uma instância organizacional do IAM Identity Center. A instância de organização deve estar habilitada em sua conta de gerenciamento e você pode gerenciar centralmente o acesso de usuários e grupos com uma única instância de organização. Você só pode ter uma instância de organização para cada conta de gerenciamento no AWS Organizations. 

Se habilitou o IAM Identity Center antes de 15 de novembro de 2023, você já tem uma instância de organização do IAM Identity Center. 

Para habilitar uma instância de organização do IAM Identity Center, consulte [Para habilitar uma instância do IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance).

## Quando usar uma instância de organização
<a name="when-to-use-organization-instance"></a>

Uma instância de organização é o principal método para habilitar o IAM Identity Center e, usualmente, uma instância de organização é recomendada. As instâncias de organização oferecem os seguintes benefícios:
+ **Support para todos os recursos do IAM Identity Center** — incluindo o gerenciamento de permissões para vários Contas da AWS em sua organização, a atribuição de acesso a aplicativos gerenciados pelo cliente e a replicação em várias regiões.
+ **Redução do número de pontos de gerenciamento**: uma instância de organização tem um único ponto de gerenciamento, a conta gerencial. Recomendamos que você habilite uma instância de organização, em vez de uma instância de conta, para reduzir o número de pontos de gerenciamento.
+ **Controle central da criação de instâncias de conta** — Você pode controlar se as instâncias de conta podem ser criadas por contas membros em sua organização, desde que você não tenha implantado uma instância do IAM Identity Center em sua organização em uma região opcional (Região da AWS que é desativada por padrão). 

Para obter instruções sobre como habilitar uma instância de organização do IAM Identity Center, consulte [Para habilitar uma instância do IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance).

# Instâncias de conta do Centro de Identidade do IAM
<a name="account-instances-identity-center"></a>

 Com uma instância de conta do IAM Identity Center, você pode implantar aplicativos AWS gerenciados compatíveis e aplicativos gerenciados pelo cliente baseados em OIDC. As instâncias de conta oferecem suporte a implantações isoladas de aplicativos em um único aplicativo Conta da AWS, aproveitando os recursos do portal de acesso e identidade da força de trabalho do IAM Identity Center. 

As instâncias da conta estão vinculadas a uma única Conta da AWS e são usadas somente para gerenciar o acesso de usuários e grupos a aplicativos compatíveis na mesma conta Região da AWS e. Você está limitado a uma instância de conta por Conta da AWS. Você pode criar uma instância de conta a partir de uma das seguintes opções: uma conta de membro AWS Organizations ou uma conta autônoma Conta da AWS que não seja gerenciada por AWS Organizations.

Para obter instruções sobre como habilitar uma instância de conta do IAM Identity Center, consulte [Para habilitar uma instância do IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance) e escolha a aba **Conta**.

## Quando usar uma instância de conta
<a name="when-to-use-account-instance"></a>

Na maioria dos casos, uma [instância da organização](organization-instances-identity-center.md) é recomendada. Use instâncias de conta somente se um dos seguintes cenários se aplicar:
+ Você deseja executar um teste temporário de um aplicativo AWS gerenciado compatível para determinar se o aplicativo atende às suas necessidades comerciais.
+ Você não tem planos de adotar o IAM Identity Center em toda a sua organização, mas deseja oferecer suporte a um ou mais aplicativos AWS gerenciados.
+ Você tem uma instância de organização do IAM Identity Center, mas deseja implantar uma aplicação gerenciada pela AWS compatível em um conjunto isolado de usuários que são distintos dos usuários da instância da sua organização.
+ Você não controla a AWS organização na qual opera. Por exemplo, um terceiro controla a AWS organização que gerencia sua Contas da AWS.

**Importante**  
Se você planeja usar o IAM Identity Center para oferecer suporte a aplicações em várias contas, use uma instância de organização. As instâncias de conta não oferecem suporte a esse caso de uso.

## AWS aplicativos gerenciados que oferecem suporte a instâncias de contas
<a name="supported-aws-applications"></a>

Veja [AWS aplicativos gerenciados que você pode usar com o IAM Identity Center](awsapps-that-work-with-identity-center.md) para saber quais aplicativos AWS gerenciados oferecem suporte às instâncias da conta do IAM Identity Center. Verifique a disponibilidade da criação da instância da conta com seu aplicativo AWS gerenciado.

## Restrições de disponibilidade para contas-membro
<a name="account-instances-availability-contstraints"></a>

Para implantar instâncias de conta do IAM Identity Center nas contas dos AWS Organizations membros, uma das seguintes condições deve ser verdadeira:
+ Não há nenhuma instância de organização do IAM Identity Center em sua organização da . 
+ Há uma instância de organização do IAM Identity Center na organização e o administrador da instância permite a criação de instâncias de conta do IAM Identity Center (para instâncias organizacionais criadas após 15 de novembro de 2023).
+ Há uma instância de organização do IAM Identity Center em sua organização da e o administrador da instância habilitou manualmente a criação de instâncias de conta pelas contas-membro da organização (para instâncias de organização criadas após 15 de novembro de 2023). Para instruções, consulte [Permitir a criação de instâncias de conta em contas de membros](enable-account-instance-console.md). 

Depois que uma das condições anteriores for atendida, todas as seguintes condições devem ser verdadeiras:
+ O administrador não criou uma [política de controle de serviços](control-account-instance.md) que impede a criação de instâncias de conta.
+ Você não tem uma instância do IAM Identity Center nessa mesma conta, não importando a Região da AWS.
+ Você está trabalhando em um Região da AWS local onde o IAM Identity Center está disponível. Para obter mais informações sobre regiões, consulte [Armazenamento de dados e operações da região do IAM Identity Center](regions.md).

## Considerações sobre instâncias de conta
<a name="about-account-instance"></a>

Uma instância de conta destina-se a casos de uso especializados e oferece um subconjunto dos atributos disponíveis para uma instância de organização. Considere o seguinte antes de criar uma instância de conta:
+ As instâncias de conta não são compatíveis com conjuntos de permissões e, portanto, não são compatíveis com o acesso a Contas da AWS.
+ Você não pode converter uma instância de conta em uma instância de organização.
+ Somente [aplicações gerenciadas pela AWS](awsapps-that-work-with-identity-center.md) são compatíveis com instâncias de conta.
+ Use instâncias de conta para usuários isolados que só usarão as aplicações em uma única conta e durante toda a vida útil das aplicações usadas.
+ As aplicações vinculadas a uma instância de conta devem permanecer vinculadas até que você exclua a aplicação junto com seus recursos.
+ Uma instância da conta deve permanecer no Conta da AWS local em que foi criada.

# Permitir a criação de instâncias de conta em contas de membros
<a name="enable-account-instance-console"></a>

Se você habilitou o IAM Identity Center antes de 15 de novembro de 2023, você tem uma [instância de organização](organization-instances-identity-center.md) do IAM Identity Center com a capacidade de contas de membros criarem instâncias de conta desabilitada por padrão. Você pode escolher se as contas-membros podem criar instâncias de conta habilitando o atributo de instância de conta no console do IAM Identity Center. 

**Para habilitar a criação de instâncias de contas-membro na organização**
**Importante**  
Habilitar instâncias de conta do IAM Identity Center para contas-membro é uma operação única. Isso significa que a operação não pode ser revertida. Uma vez habilitada, você pode limitar a criação de instâncias de conta criando uma política de controle de serviços (SCP). Para obter instruções, consulte [Control account instance creation with Services Control Policies](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html).

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Escolha **Configurações** e despois escolha a guia **Gerenciamento**.

1. Na seção **Instâncias de conta do IAM Identity Center**, escolha **Habilitar instâncias de conta do IAM Identity Center**.

1. Na caixa de diálogo **Habilitar instâncias de conta do IAM Identity Center**, confirme que você deseja permitir que as contas-membros da organização criem instâncias de conta ao escolher **Habilitar**.

# Use as Políticas de controle de serviço para controlar a criação de instâncias de conta
<a name="control-account-instance"></a>

A capacidade das contas de membros criarem instâncias de conta depende de quando você habilitou o IAM Identity Center:
+ **Antes de novembro de 2023** — Você deve [permitir a criação de instâncias de conta nas contas de membros](enable-account-instance-console.md), uma ação que não pode ser revertida.
+ **Depois de 15 de novembro de 2023,** as contas de membros podem criar instâncias de conta por padrão.

Em ambos os casos, você pode usar Service Control Policies (SCPs) para:
+ Impedir que todas as contas de membros criem instâncias de conta.
+ Permitir que somente contas de membros específicas criem instâncias de conta.

## Evitar instâncias de conta
<a name="prevent-account-instances"></a>

Use o procedimento a seguir para gerar um SCP que impede a criação de instâncias de conta do IAM Identity Center.

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon). 

1. No **Painel**, na seção **Gerenciamento central**, escolha o botão **Evitar instâncias de conta**.

1. Na caixa de diálogo **Anexar SCP para evitar a criação de novas instâncias de conta**, uma SCP é fornecida a você. Copie a SCP e escolha o botão **Ir para o painel de SCP**. Você será direcionado ao [AWS Organizations console](https://console.aws.amazon.com/organizations/v2) para criar o SCP ou anexá-lo como uma declaração a um SCP existente. SCPs são uma característica do AWS Organizations. Para obter instruções sobre como anexar uma SCP, consulte [Attaching and detaching service control policies](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) no *AWS Organizations User Guide.*

## Limitar instâncias de conta
<a name="limit-account-instances"></a>

Em vez de impedir a criação de todas as instâncias da conta, essa política nega qualquer tentativa de criar uma instância de conta do IAM Identity Center para todos, Contas da AWS exceto aqueles explicitamente listados no *"<ALLOWED-ACCOUNT-ID>"* espaço reservado.

**Example : negue a política para limitar a criação de instâncias da conta**    
****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}
```
+ Substitua [*"<ALLOWED-ACCOUNT-ID>"*] pelas Conta da AWS IDs reais que você deseja permitir para criar uma instância de conta do IAM Identity Center.
+ Você pode listar várias contas permitidas IDs no formato de matriz: [*"111122223333", "444455556666"*].
+ Anexe essa política ao SCP da organização para impor o controle centralizado sobre a criação da instância de conta do IAM Identity Center. 

  Para obter instruções sobre como anexar uma SCP, consulte [Attaching and detaching service control policies](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) no *AWS Organizations User Guide.*

# Excluir sua instância do IAM Identity Center
<a name="delete-config"></a>

Quando uma instância do IAM Identity Center é excluída, todos os dados dessa instância são excluídos e não podem ser recuperados. A tabela a seguir descreve quais dados são excluídos com base no tipo de diretório que está configurado no IAM Identity Center.


| Quais dados são excluídos | Diretório conectado - AWS Managed Microsoft AD, AD Connector ou provedor de identidade externo | Armazenamento de identidades do IAM Identity Center | 
| --- | --- | --- | 
|  Todos os conjuntos de permissões para os quais você configurou Contas da AWS  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim  | 
|  Todas as aplicações que você configurou no IAM Identity Center  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim  | 
| Todas as atribuições de usuário para as quais você configurou Contas da AWS e aplicativos |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim  |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim  | 
| Todos os usuários e grupos no diretório ou armazenamento | N/D |  ![\[Yes\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/icon-yes.png) Sim  | 

Se você replicou sua instância do IAM Identity Center para regiões adicionais, você deve remover essas regiões antes de excluir a instância.

Use os procedimentos a seguir para excluir sua instância do IAM Identity Center.

**Para excluir sua instância do IAM Identity Center**

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. No painel de navegação à esquerda, escolha **Configurações**.

1. Na página **Configurações**, escolha a aba **Gerenciar**.

1. Na seção **Excluir configuração do IAM Identity Center**, escolha **Excluir**.

1. Na caixa de diálogo **Excluir configuração do IAM Identity Center**, marque cada caixa de seleção para confirmar que você entende que os dados serão excluídos. Digite sua instância do IAM Identity Center na caixa de texto e escolha **Confirmar**.