As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Pré-requisitos e considerações sobre o IAM Identity Center
Você pode usar o IAM Identity Center para acessar somente aplicativos AWS gerenciados, Contas da AWS somente ou ambos. Se você estiver usando a federação do IAM para gerenciar o acesso Contas da AWS, você pode continuar fazendo isso enquanto usa o IAM Identity Center para acesso ao aplicativo.
Antes de habilitar o IAM Identity Center, considere o seguinte:
+ AWS Região
Primeiro, você ativa o IAM Identity Center em uma única região [compatível](regions.md) para cada instância do IAM Identity Center. Se você quiser usar o IAM Identity Center para acesso único às contas AWS , a região deverá estar acessível a todos os usuários da organização. Se você planeja usar o IAM Identity Center para acessar aplicativos, saiba que alguns aplicativos AWS gerenciados, como o Amazon SageMaker AI, podem operar somente nas regiões que oferecem suporte. Além disso, a maioria dos aplicativos AWS gerenciados exige que o IAM Identity Center esteja disponível na mesma região do aplicativo. Isso pode ser feito colocando-os na mesma região ou, quando houver suporte, replicando a instância do IAM Identity Center na região de implantação desejada de um AWS aplicativo gerenciado. Para obter mais informações, consulte [Considerações para escolher um Região da AWS](identity-center-region-considerations.md).
+ Acesso somente à aplicação
Você pode usar o IAM Identity Center somente para acesso do usuário a aplicativos como o Kiro, usando seu provedor de identidade existente. Para obter mais informações, consulte [Uso do IAM Identity Center para acesso dos usuário apenas a aplicações](identity-center-for-apps-only.md).
**nota**
O acesso aos recursos da aplicação é gerenciado independentemente pelo proprietário da aplicação.
+ Cotas para perfis do IAM
O IAM Identity Center cria perfis do IAM para dar aos usuários permissões para contabilizar os recursos. Para obter mais informações, consulte [Perfis do IAM criados pelo IAM Identity Center](identity-center-and-iam-roles.md).
+ Centro de identidade do IAM e AWS Organizations
AWS Organizations é recomendado, mas não obrigatório, para uso com o IAM Identity Center. Se você não configurou uma organização, não é necessário fazer isso. Se você já configurou AWS Organizations e vai adicionar o IAM Identity Center à sua organização, verifique se todos os AWS Organizations recursos estão habilitados. Para obter mais informações, consulte [Centro de identidade do IAM e AWS Organizations](identity-center-and-orgs.md).
As interfaces web do IAM Identity Center, incluindo o portal de acesso e o console do IAM Identity Center, devem ser acessadas por humanos por meio de navegadores da web compatíveis. Os navegadores compatíveis incluem as três versões mais recentes do Microsoft Edge, Mozilla Firefox, Google Chrome e Apple Safari. O acesso a esses endpoints usando caminhos não baseados em navegador não é suportado. Para acesso programático aos serviços do IAM Identity Center, recomendamos usar a documentação APIs disponível nos guias de referência da API IAM Identity Center e Identity Store.
# Considerações para escolher um Região da AWS
Você pode ativar o IAM Identity Center em um único suporte Região da AWS de sua escolha e ele está disponível para usuários em todo o mundo. Essa disponibilidade global facilita a configuração do acesso do usuário a vários Contas da AWS aplicativos. A seguir, estão as principais considerações para escolher uma Região da AWS.
+ **Localização geográfica dos seus usuários** — Quando você seleciona uma região geograficamente mais próxima da maioria dos seus usuários finais, eles terão menor latência de acesso ao portal de acesso e AWS aos aplicativos AWS gerenciados, como o Amazon AI. SageMaker
+ Regiões de **aceitação (regiões que estão desativadas por padrão)** — Uma região de aceitação é Região da AWS aquela que está desativada por padrão. Você deve habilitar a região opcional para usá-la. Para obter mais informações, consulte [Como gerenciar o IAM Identity Center em uma região de aceitação](regions.md#manually-enabled-regions).
+ **Replicação do IAM Identity Center para regiões adicionais** — Se você planeja replicar o IAM Identity Center para outras regiões Regiões da AWS, você deve escolher uma região ativada por padrão. Para obter mais informações, consulte [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md).
+ **Escolha de regiões de implantação para aplicativos AWS AWS gerenciados** — os Regiões da AWS aplicativos gerenciados podem operar somente onde estão disponíveis. Muitos aplicativos AWS gerenciados também podem operar somente em uma região na qual o IAM Identity Center está habilitado ou replicado (região primária ou adicional). Para confirmar se sua instância do IAM Identity Center oferece suporte à replicação para regiões adicionais, consulte[Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md). Se a replicação não for uma opção, considere habilitar o IAM Identity Center na região em que você planeja usar aplicativos AWS gerenciados.
+ **Soberania digital**: os regulamentos ou as políticas da empresa sobre soberania digital podem exigir o uso de uma determinada Região da AWS. Consulte o departamento jurídico da sua empresa.
+ **Fonte de identidade** — Se você estiver usando [AWS Managed Microsoft AD](connectawsad.md)seu diretório autogerenciado no Active [Directory (AD)](connectonpremad.md) como fonte de identidade, sua região de origem deverá corresponder à Região da AWS na qual você habilitou o IAM Identity Center.
+ **E-mails entre regiões com o Amazon Simple Email Service** — Em algumas regiões, o IAM Identity Center pode chamar o [Amazon Simple Email Service (Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)) em outra região para enviar e-mails. Nessas chamadas entre regiões, o IAM Identity Center envia determinados atributos de usuário para a outra região. Para obter mais informações, consulte [E-mails entre regiões com o Amazon SES](regions.md#cross-region-calls).
+ **AWS Control Tower**— Se você estiver habilitando uma instância organizacional do IAM Identity Center a partir de AWS Control Tower, a instância será criada na mesma região da AWS Control Tower landing zone.
**Topics**
+ [Armazenamento de dados e operações da região do IAM Identity Center](regions.md)
+ [Trocando Regiões da AWS](switching-regions.md)
+ [Desativando e Região da AWS onde o IAM Identity Center está ativado](disabling-region-with-identity-center.md)
# Armazenamento de dados e operações da região do IAM Identity Center
Saiba como o IAM Identity Center lida com o armazenamento e as operações de dados entre as Regiões da AWS.
## Entender como o IAM Identity Center armazena dados
Quando você ativa o IAM Identity Center, todos os dados que você configura no IAM Identity Center são armazenados na região em que você os habilitou. Esses dados incluem configurações de diretório, conjuntos de permissões, instâncias do aplicativo e atribuições de usuários aos Conta da AWS aplicativos. Se você estiver usando o armazenamento de identidades do IAM Identity Center, todos os usuários e grupos que você cria no IAM Identity Center também são armazenados na mesma região. Se você replicar sua instância do IAM Identity Center para regiões adicionais, o IAM Identity Center replica automaticamente usuários, grupos, conjuntos de permissões e suas atribuições, além de outros metadados e configurações para essas regiões.
## E-mails entre regiões com o Amazon SES
O IAM Identity Center usa o [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) para enviar e-mails aos usuários finais quando eles tentam fazer login com uma senha de uso único (OTP) como segundo fator de autenticação. Esses e-mails também são enviados para determinados eventos de gerenciamento de identidade e credenciais, como quando o usuário é convidado a configurar uma senha inicial, verificar um endereço de e-mail e redefinir sua senha. O Amazon SES está disponível em um subconjunto do suporte do Regiões da AWS IAM Identity Center.
O IAM Identity Center chama os endpoints locais do Amazon SES quando o Amazon SES está disponível localmente em uma Região da AWS. Quando o Amazon SES não está disponível localmente, o IAM Identity Center chama os endpoints do Amazon SES em uma Região da AWS diferente, conforme indicado na tabela a seguir.
| Código da região do IAM Identity Center | Nome da região do IAM Identity Center | Código de região do Amazon SES | Nome de região do Amazon SES |
| --- | --- | --- | --- |
| ap-east-1 | Ásia-Pacífico (Hong Kong) | ap-northeast-2 | Ásia-Pacífico (Seul) |
| ap-east-2 | Ásia-Pacífico (Taipei) | ap-northeast-1 | Ásia-Pacífico (Tóquio) |
| ap-south-2 | Ásia-Pacífico (Hyderabad) | ap-south-1 | Ásia-Pacífico (Mumbai) |
| ap-southeast-4 | Ásia-Pacífico (Melbourne) | ap-southeast-2 | Ásia-Pacífico (Sydney) |
| ap-southeast-5 | Ásia-Pacífico (Malásia) | ap-southeast-1 | Ásia-Pacífico (Singapura) |
| ap-southeast-6 | Ásia-Pacífico (Nova Zelândia) | ap-southeast-2 | Ásia-Pacífico (Sydney) |
| ap-southeast-7 | Ásia-Pacífico (Tailândia) | ap-northeast-3 | Ásia-Pacífico (Osaka) |
| ca-west-1 | Oeste do Canadá (Calgary) | ca-central-1 | Canadá (Central) |
| eu-south-2 | Europa (Espanha) | eu-west-3 | Europa (Paris) |
| eu-central-2 | Europa (Zurique) | eu-central-1 | Europa (Frankfurt) |
| mx-central-1 | México (Centro) | us-east-2 | Leste dos EUA (Ohio) |
| me-central-1 | Oriente Médio (Emirados Árabes Unidos) | eu-central-1 | Europa (Frankfurt) |
| us-gov-east-1 | AWS GovCloud (Leste dos EUA) | us-gov-west-1 | AWS GovCloud (Oeste dos EUA) |
Nessas chamadas entre regiões, o IAM Identity Center pode enviar os seguintes atributos de usuário:
+ Endereço de e-mail
+ Nome
+ Sobrenome
+ Conta em AWS Organizations
+ AWS URL do portal de acesso
+ Nome de usuário
+ ID de diretório
+ ID de usuário
## Gerenciamento do IAM Identity Center em uma região de adesão opcional (região desabilitada por padrão)
A maioria Regiões da AWS está habilitada para operações em todos os AWS serviços por padrão, mas você deve habilitar as seguintes [regiões opcionais](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion) se quiser usar o IAM Identity Center:
+ Africa (Cape Town)
+ Ásia Pacífico (Hong Kong)
+ Ásia-Pacífico (Taipei)
+ Ásia-Pacífico (Hyderabad)
+ Ásia-Pacífico (Jacarta)
+ Ásia-Pacífico (Melbourne)
+ Ásia-Pacífico (Malásia)
+ Ásia-Pacífico (Nova Zelândia)
+ Ásia-Pacífico (Tailândia)
+ Oeste do Canadá (Calgary)
+ Europa (Milão)
+ Europa (Espanha)
+ Europa (Zurique)
+ Israel (Tel Aviv)
+ México (Centro)
+ Oriente Médio (Bahrein)
+ Oriente Médio (Emirados Árabes Unidos)
Se você implantar o IAM Identity Center em uma região de aceitação, deverá habilitar essa região em todas as contas em que desejar gerenciar o acesso ao IAM Identity Center. Todas as contas precisam dessa configuração, independentemente de você criar ou não recursos nessa região. Você pode habilitar uma região para as contas atuais da organização e deve repetir essa ação quando adicionar novas contas. Para obter instruções, consulte [Habilitar ou desabilitar uma região na organização](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) no *Guia do Usuário do AWS Organizations *. Para não precisar repetir essas etapas adicionais, você pode optar por implantar o IAM Identity Center em uma [Região habilitada por padrão](#regions-enabled-by-default).
**nota**
Sua conta de AWS membro deve estar na mesma região da região de inscrição em que sua instância do IAM Identity Center está localizada, para que você possa acessar a conta do AWS membro a partir do portal de AWS acesso.
**Metadados armazenados nas regiões de aceitação**
Quando você ativa o IAM Identity Center para uma conta de gerenciamento em um opt-in Região da AWS, os seguintes metadados do IAM Identity Center para qualquer conta membro são armazenados na região.
+ ID da conta
+ Nome da conta
+ E-mail da conta
+ Amazon Resource Names (ARNs) das funções do IAM que o IAM Identity Center cria na conta do membro
## Regiões da AWS que estão habilitados por padrão
As seguintes regiões estão habilitadas por padrão e você pode habilitar o IAM Identity Center nessas regiões.
+ Leste dos EUA (Ohio)
+ Leste dos EUA (N. da Virgínia)
+ Oeste dos EUA (Oregon)
+ Oeste dos EUA (N. da Califórnia)
+ Europa (Paris)
+ América do Sul (São Paulo)
+ Ásia-Pacífico (Mumbai)
+ Europa (Estocolmo)
+ Ásia-Pacífico (Seul)
+ Ásia-Pacífico (Tóquio)
+ Europa (Irlanda)
+ Europa (Frankfurt)
+ Europa (Londres)
+ Ásia-Pacífico (Singapura)
+ Ásia-Pacífico (Sydney)
+ Canadá (Central)
+ Ásia-Pacífico (Osaka)
# Trocando Regiões da AWS
Recomendamos que você instale o IAM Identity Center em uma região que você pretende manter disponível para os usuários, não em uma região que talvez seja necessário desabilitar. Para obter mais informações, consulte [Considerações para escolher um Região da AWS](identity-center-region-considerations.md).
Você pode alterar a região do IAM Identity Center somente ao [excluir a instância atual do IAM Identity Center](delete-config.md) e criar uma instância em outra região. Se você já habilitou uma aplicação gerenciada pela AWS com a instância existente do IAM Identity Center, desabilite a aplicação antes de excluir o IAM Identity Center. Para obter instruções sobre como desativar aplicativos AWS gerenciados, consulte[Desabilitando um aplicativo AWS gerenciado](awsapps-remove.md).
**nota**
Se você está pensando em mudar sua região do IAM Identity Center para permitir a implantação de um aplicativo AWS gerenciado em outra região, considere replicar sua instância do IAM Identity Center para essa região. Para obter mais informações, consulte [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md).
**Considerações sobre a configuração na nova região**
Você deverá recriar usuários, grupos, conjuntos de permissões, aplicações e atribuições na nova instância do IAM Identity Center. Você pode usar a conta do IAM Identity Center e a atribuição do aplicativo [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)para obter um instantâneo da sua configuração e, em seguida, usar esse instantâneo para reconstruir sua configuração em uma nova região. Mudar para uma região diferente também altera a URL do [portal de AWS acesso](using-the-portal.md), que fornece aos usuários acesso de login único a seus aplicativos Contas da AWS e aplicativos. Pode ser necessário também recriar algumas configurações do IAM Identity Center por meio do Management Console da nova instância.
# Desativando e Região da AWS onde o IAM Identity Center está ativado
Se você desabilitar um Região da AWS no qual o IAM Identity Center está instalado, o IAM Identity Center também será desativado. Após o IAM Identity Center ser desabilitado em uma região, os usuários dessa região não terão acesso de login único às Contas da AWS e aplicações.
Para reativar o IAM Identity Center no [opt-in Regiões da AWS](regions.md#manually-enabled-regions), você deve reativar a região. Como o IAM Identity Center precisa reprocessar todos os eventos pausados, a reabilitação do IAM Identity Center pode levar algum tempo.
**nota**
O IAM Identity Center pode gerenciar o acesso somente aos Contas da AWS que estão habilitados para uso em um Região da AWS. Para gerenciar o acesso em todas as contas da sua organização, habilite o IAM Identity Center na conta de gerenciamento em uma Região da AWS que seja ativada automaticamente para uso com o IAM Identity Center.
Para obter mais informações sobre como ativar e desativar Regiões da AWS, consulte [Gerenciando Regiões da AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) na *Referência AWS Geral*.
# Uso do IAM Identity Center para acesso dos usuário apenas a aplicações
Você pode usar o IAM Identity Center para acesso do usuário a aplicativos como o Kiro ou ambos. Contas da AWS Você pode conectar o seu provedor de identidades existente e sincronizar usuários e grupos do seu diretório, ou [criar e gerenciar os usuários diretamente no IAM Identity Center](quick-start-default-idc.md). Para obter informações sobre como conectar seu provedor de identidades existente ao IAM Identity Center, consulte os [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md).
**Já está usando o IAM para acessar Contas da AWS?**
Você não precisa fazer nenhuma alteração em seus Conta da AWS fluxos de trabalho atuais para usar o IAM Identity Center para acessar aplicativos AWS gerenciados. Se você estiver usando a [federação com o IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam) para Conta da AWS acessar, seus usuários podem continuar Contas da AWS acessando da mesma forma que sempre fizeram, e você pode continuar usando seus fluxos de trabalho existentes para gerenciar esse acesso.
# Perfis do IAM criados pelo IAM Identity Center
Quando você atribui um usuário a uma AWS conta, o IAM Identity Center cria funções do IAM para dar aos usuários permissões sobre os recursos.
Quando você atribui um conjunto de permissões, o IAM Identity Center cria os perfis do IAM controlados pelo IAM Identity Center correspondentes em cada conta e anexa as políticas especificadas no conjunto de permissões a esses perfis. O IAM Identity Center gerencia a função e permite que os usuários autorizados que você definiu assumam a função usando o portal de AWS acesso ou. AWS CLI Conforme você modificar o conjunto de permissões, o IAM Identity Center garantirá que as políticas e perfis do IAM correspondentes sejam devidamente atualizados. A replicação da instância do IAM Identity Center para regiões adicionais não afeta as funções existentes do IAM e não cria novas funções do IAM.
**nota**
Os conjuntos de permissões não são usados para conceder permissões às aplicações.
Se você já configurou funções do IAM no seu Conta da AWS, recomendamos que verifique se sua conta está se aproximando da cota para funções do IAM. A cota padrão de perfis do IAM por conta é de 1.000 perfis. Para obter mais informações, consulte [Cotas de objetos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities).
Se você estiver se aproximando da cota, considere solicitar um aumento de cota. Caso contrário, você poderá ter problemas com o IAM Identity Center ao provisionar conjuntos de permissões para contas que excederam a cota de perfis do IAM. Para obter informações sobre como solicitar o aumento da cota, consulte [Solicitar um aumento de cota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) no *Guia do usuário do Service Quotas*.
**nota**
Se você estiver revisando os perfis do IAM de uma conta que já está usando o IAM Identity Center, poderá notar nomes de perfil começando com “AWSReservedSSO\$1”. Esses são os perfis que o serviço do IAM Identity Center criou na conta e vieram da atribuição de um conjunto de permissões à conta.
# Centro de identidade do IAM e AWS Organizations
AWS Organizations é recomendado, mas não obrigatório, para uso com o IAM Identity Center. Se você não configurou uma organização, não é necessário fazer isso. Ao ativar o IAM Identity Center, você escolherá se deseja ativar o serviço com AWS Organizations. Quando você configura uma organização, o Conta da AWS que configura a organização se torna a conta de gerenciamento da organização. O usuário raiz do Conta da AWS agora é o proprietário da conta de gerenciamento da organização. Todas as Contas da AWS adicionais que você convida para sua organização são contas-membros. A conta de gerenciamento cria os recursos, as unidades organizacionais e as políticas da organização que gerenciam as contas-membros. As permissões são delegadas às contas-membros pela conta de gerenciamento.
**nota**
Recomendamos que você habilite o IAM Identity Center com AWS Organizations, que cria uma instância organizacional do IAM Identity Center. Uma instância de organização é a prática recomendada porque é compatível com todos os atributos do IAM Identity Center e fornece recursos de gerenciamento central. Para obter mais informações, consulte [Instâncias de organização do IAM Identity Center](organization-instances-identity-center.md).
Se você já configurou AWS Organizations e vai adicionar o IAM Identity Center à sua organização, verifique se todos os AWS Organizations recursos estão habilitados. Quando você cria uma organização, a habilitação de todos os recursos é o padrão. Para obter mais informações, consulte [Habilitar todos os recursos em sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) no *Manual do usuário do AWS Organizations *.
Para habilitar uma instância organizacional do IAM Identity Center, você deve entrar no Console de gerenciamento da AWS fazendo login na sua conta de AWS Organizations gerenciamento como um usuário com credenciais administrativas ou como usuário raiz (não recomendado, a menos que não existam outros usuários administrativos). Para obter mais informações, consulte [Criação e gerenciamento de uma AWS organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) no *Guia AWS Organizations do usuário*.
Ao fazer login com credenciais administrativas de uma conta AWS Organizations membro, você pode habilitar uma instância de conta do IAM Identity Center. As instâncias da conta têm recursos limitados e estão vinculadas a uma única AWS conta.