本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 更新防火墙和网关以允许访问 AWS 访问门户
<a name="enable-identity-center-portal-access"></a>

 AWS 访问门户为用户提供单点登录访问所有 AWS 账户 和最常用的云应用程序，例如 Office 365、Concur、Salesforce 等。只需在门户中选择 AWS 账户 或应用程序图标即可快速启动多个应用程序。

**注意**  
AWS 托管应用程序与 IAM Identity Center 集成并用于身份验证和目录服务，但可能不会使用 AWS 访问门户进行应用程序访问。

如果您使用网络内容过滤解决方案（例如下一代防火墙 (NGFW) 或安全 Web 网关 (SWG)）来筛选对特定 AWS 域或 URL 端点的访问，则必须将与访问门户关联的域和 URL 端点列入许可名单。 AWS 

以下列表提供了要添加到您的网页内容过滤解决方案许可名单中的双栈域名和网址端点。 IPv4 

**IPv4 允许名单**
+ `{{[Directory ID or alias]}}.awsapps.com`
+ `{{[Identity Center instance ID]}}.{{[Region]}}.portal.amazonaws.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.{{[Region]}}.amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.{{[Region]}}.amazonaws.com `
+ `*.sso-portal.{{[Region]}}.amazonaws.com`
+ `{{[Region]}}.prod.pr.panorama.console.api.aws/panoramaroute`
+ `{{[Region]}}.signin.aws`
+ `{{[Region]}}.signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`

**双栈允许列表**
+ `{{[Identity Center instance ID]}}.portal.{{[Region]}}.app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.{{[Region]}}.api.aws`
+ `sso.{{[Region]}}.api.aws`
+ `portal.sso.{{[Region]}}.api.aws`
+ `{{[Region]}}.sso.signin.aws`
+ `{{[Region]}}.signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

**合并允许列表（IPv4 \+ 具有向后兼容性的双堆栈）**
+ `{{[Directory ID or alias]}}.awsapps.com`
+ `{{[Identity Center instance ID]}}.{{[Region]}}.portal.amazonaws.com`
+ `{{[Identity Centers instance ID]}}.portal.{{[Region]}}.app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.{{[Region]}}.amazonaws.com`
+ `oidc.{{[Region]}}.api.aws`
+ `*.sso.amazonaws.com`
+ `*.sso.{{[Region]}}.amazonaws.com`
+ `sso.{{[Region]}}.api.aws`
+ `*.sso-portal.{{[Region]}}.amazonaws.com`
+ `portal.sso.{{[Region]}}.api.aws`
+ `{{[Region]}}.prod.pr.panorama.console.api.aws/panoramaroute`
+ `{{[Region]}}.signin.aws`
+ `{{[Region]}}.sso.signin.aws`
+ `{{[Region]}}.signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

## 将域和 URL 端点列入许可列表的注意事项
<a name="allowlist-considerations"></a>

除了 AWS 访问门户的许可名单要求外，您使用的其他服务和应用程序可能还需要将域列入许可名单。
+ 要从您的访问 AWS 账户门户 AWS 访问 AWS 管理控制台、和 IAM Identity Center 控制台，您必须将其他域列入许可名单。有关 AWS 管理控制台 域名列表，请参阅《*AWS 管理控制台 入门指南》*中的[疑难解答](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/troubleshooting.html)。
+ 要从您的访问门户 AWS 访问 AWS 托管应用程序，您必须将其各自的域列入许可名单。如需有关指导，请参阅相应服务文档。
+ 如果您使用外部软件，例如外部软件 IdPs （例如Okta和Microsoft Entra ID），则需要将其域名包括在许可名单中。