本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 与... 合作 AWS IAM Identity Center 和 AWS Control Tower
<a name="sso"></a>

在 AWS Control Tower 中，IAM 身份中心允许中央云管理员和最终用户管理对多个 AWS 账户和业务应用程序的访问权限。默认情况下，AWS Control Tower 使用此服务来设置和管理对通过 Account Factory 创建的账户的访问权限，除非您选择了自行管理身份和访问控制的选项。

有关选择身份提供商的更多信息，请参阅[IAM Identity Center 指南](sso-guidance.md)。

有关如何在 AWS Control Tower 中设置 IAM Identity Center 用户和权限的简短教程，请观看本视频（6:23）。为了更好地观看，请选择视频右下角的图标以将其放大为全屏。可以使用字幕。

[![AWS Videos](http://img.youtube.com/vi/y_n9xN5mg1g/0.jpg)](http://www.youtube.com/watch?v=y_n9xN5mg1g)


**关于使用 IAM Identity Center 设置 AWS Control Tower**

在最初设置 AWS Control Tower 时，仅根用户和任何具有正确权限的 IAM 用户才可以添加 IAM Identity Center 用户。但是，将最终用户添加到**AWSAccountFactory**群组后，他们可以通过 Account Factory 向导创建新的 IAM Identity Center 用户。有关更多信息，请参阅 [使用 Account Factory 预置和管理账户](account-factory.md)。

如果选择推荐的默认设置，AWS Control Tower 会使用预配置的目录设置您的登录区，帮助您管理用户身份和单点登录，以便您的用户拥有跨账户的联合访问权限。设置您的登录区时，系统将创建此默认目录以包含*用户组*和*权限集*。

**注意**  
您可以使用 IAM I AWS IAM Identity Center dentity Center 的委托管理员功能，将组织中的管理委托给管理账户以外的账户。如果选择使用此功能，请注意拥有管理组成员权限的管理员*也*可以管理分配给管理账户的组。有关更多信息，请参阅这篇题为 “[AWS SSO 委托管理入门” 的](https://aws.amazon.com/blogs//security/getting-started-with-aws-sso-delegated-administration/)博客文章

## 关于 IAM Identity Center 账户和 AWS Control Tower 的注意事项
<a name="sso-good-to-know"></a>

以下是在 AWS Control Tower 中使用 IAM Identity Center 用户账户时需要了解的一些好处。
+ 如果您的 AWS IAM Identity Center 用户账户被禁用，则在尝试在 Account Factory 中配置新账户时，您将收到一条错误消息。您可以在 IAM Identity Center 控制台中重新启用 IAM Identity Center 用户。
+ 如果您在更新与 Account Factory 提供的账户关联的已预置产品时指定了新的 IAM Identity Center 用户电子邮件地址，AWS Control Tower 会创建一个新的 IAM Identity Center 用户账户。之前创建的用户账户不会被删除。如果您希望从 AWS IAM Identity Center 删除以前的 IAM Identity Center 用户电子邮件地址，请参阅[禁用用户](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html)。
+ AWS IAM 身份中心已[与 Azure 活动目录集成](https://aws.amazon.com//blogs/aws/the-next-evolution-in-aws-single-sign-on/)，你可以将现有的 Azure 活动目录连接到 AWS Control Tower。
+ 有关 AWS Control Tower 行为如何与 AWS IAM 身份中心和不同身份源交互的更多信息，请参阅 AWS IAM [身份中心文档中的更改身份源的注意事项](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-considerations.html)。