本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # IAM Identity Center 指南 AWS Control Tower 建议您使用 AWS Identity and Access Management (IAM) 来监管对您的访问权限 AWS 账户。但是,您可以选择是否由 AWS Control Tower 为您设置 IAM Identity Center,是否由您自行设置 IAM Identity Center,以最有效地满足自己的业务需求,或者是否选择其他账户访问方法。 **注意** **SSO** 是技术行业用来表示*单点登录*的简称。一般而言,SSO 是一种会话和用户身份验证服务。它允许用户使用一组登录凭证访问多个应用程序。在中提及单点登录功能时 AWS,我们指的是名为的 AWS 服务,缩写为 **AWS Identity and Access Management****IAM 或 IAM I** dent **ity Center**。 默认情况下,AWS Control Tower 会根据[使用多个账户组织 AWS 环境中定义的最佳实践指南,为您的](https://docs.aws.amazon.com//whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)着陆区设置 AWS IAM 身份中心。大多数客户选择默认设置。有时需要其他访问方法,以满足特定行业或国家/地区的监管要求,或者在无法使用 AWS IAM Identity Center AWS 区域 的地方。 **选择选项** 在控制台中,您可以选择在登录区设置过程中自行管理 IAM Identity Center,而不是让 AWS Control Tower 为您设置。以后任何时候,您都可以通过在登录区**设置**页面上修改登录区设置并更新登录区来更改这一选择。 **停用 AWS Control Tower 中的 IA AWS M 身份中心,或者开始使用 AWS IAM 身份中心** 1. 导航到登录区**设置**页面。 1. 选择**配置**选项卡 1. 然后选择相应的单选按钮,更改您 AWS 对 IAM 身份中心的选择。 在您选择以身份提供商的身份自行管理 AWS IAM 身份中心后,AWS Control Tower 将仅创建管理 AWS Control Tower 所需的角色和策略,例如`AWSControlTowerAdmin`和。`AWSControlTowerAdminPolicy`对于自行管理的登录区,AWS Control Tower 不再创建针对客户特定用途的 IAM 角色和分组,无论是在登录区设置过程中,还是在使用 Account Factory 预置账户期间,都是如此。 **注意** 如果您从 AWS Control Tower 着陆区移除 AWS IAM 身份中心,则不会删除 AWS Control Tower 创建的用户、群组和权限集。我们建议您删除这些资源。 拥有替代身份提供商 (IdPs)(例如 Azure AD、Ping 或 Okta)的 Account Factory 客户可以按照 AWS IAM 身份中心[流程](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-idp.html)连接到外部身份提供商并加入他们的 IdP。通过修改登录区设置,您可以随时恢复让 AWS Control Tower 生成您的分组和角色。 + 有关 AWS Control Tower 如何根据您的身份来源与 IAM Identity Center 配合使用的具体信息,请参阅本用户指南*入门*页面的[启动前检查](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-prereqs.html#sso-considerations)部分中的** AWS IAM Identity Center 客户注意事项**。 + 有关 AWS Control Tower 的行为如何与 IAM Identity Center 和不同身份来源交互的更多信息,请参阅《IAM Identity Center 用户指南》**中的 [Considerations for Changing Your Identity Source](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-considerations.html)。 + 有关将 AWS Control Tower 与 IAM Identity Center 配合使用的更多信息,请参阅 [与 AWS IAM 身份中心和 AWS Control Tower 合作](sso.md)。