本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 启用 IAM Identity Center
启用 IAM Identity Center 时,您可以选择要启用的 AWS IAM Identity Center 实例类型。服务的实例是在您的 AWS 环境中对服务的单一部署。IAM Identity Center 有两种可用实例:组织实例和账户实例。您可以启用的实例类型取决于您登录的账户类型。
以下列表指明了您可以为每种 AWS 账户类型启用的 IAM Identity Center 实例类型:
+ **您的 AWS Organizations 管理账户(推荐)**— 创建 IAM Identity Center 的[组织实例](organization-instances-identity-center.md)所必需的。使用组织实例,您可以在整个组织内实现多账户权限和应用程序分配。您可以将此实例类型复制到其他区域,以增强账户访问的灵活性以及选择 AWS 应用程序部署区域的灵活性。
+ **您的 AWS Organizations 成员账户** — 用于创建 IAM Identity Center 的[账户实例](account-instances-identity-center.md),以便在该成员账户中启用应用程序分配。一个组织中可以存在一个或多个具有成员级实例的账户。
+ **独立版 AWS 账户** — 用于创建 IAM Identity Center 的[组织实例](organization-instances-identity-center.md)[或账户实例](account-instances-identity-center.md)。独立版 AWS 账户 不是由管理的 AWS Organizations。您只能将一个 IAM Identity Center 实例与独立实例关联, AWS 账户 并将该实例用于该独立实例中的应用程序分配 AWS 账户。
**重要**
组织管理账户可以通过使用服务控制策略来[控制组织成员账户是否可以创建 IAM Identity Center 的账户实例](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html)。
如果您使用免费套餐账户,则创建 AWS 组织会自动将您的账户升级为带 pay-as-you-go定价的付费套餐。您的免费套餐积分将立即过期。有关更多信息,请参阅 [AWS 免费套餐 FAQs](https://aws.amazon.com/free/free-tier-faqs/)。
有关不同实例类型提供的不同功能的比较,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
在启用 IAM Identity Center 之前,我们建议您查看 [IAM Identity Center 先决条件和注意事项](identity-center-prerequisites.md)。
## 启用 IAM Identity Center 的实例
选择与您要启用的 IAM Identity Center 实例类型对应的选项卡(组织实例或账户实例):
------
#### [ Organization (recommended) ]
1. 请执行以下一项操作,登录 AWS 管理控制台。
+ ** AWS (root 用户)新**手 — 选择 R **oot 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。
+ **已使用 AWS 独立版 AWS 账户 (IAM 证书)**— 使用具有管理权限的 IAM 凭证登录。
+ **已在使用 AWS Organizations (IAM 证书)**-使用您的管理账户证书登录。
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. (可选)如果您想使用客户托管的 KMS 密钥进行静态加密,而不是使用默认的 AWS 托管密钥,请在用于加密**静态的 IAM Identity Center 数据的密钥**部分中配置客户托管密钥。有关更多信息,请参阅[在中实现客户托管的 KMS 密钥 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。
**重要**
仅当您已配置使用 KMS 客户自主管理型密钥的必要权限后,才执行此步骤。如果没有适当的权限,此步骤可能会失败或中断 IAM Identity Center 管理和 AWS 托管应用程序。
1. 在**启用 IAM Identity Center**下,选择**启用**。
1. 在**结合 AWS Organizations启用 IAM Identity Center** 页面,查看相关信息后选择**启用**完成操作。
**注意**
AWS Organizations 只能在单个 AWS 区域启用 IAM 身份中心。启用 IAM Identity Center 后,如果您需要更改启用 IAM Identity Center 的区域,则必须[删除](delete-config.md)当前实例并在另一个区域中创建实例。
启用组织实例后,我们建议您执行以下步骤来完成环境设置:
+ 确认您正在使用所选择的身份源。若已有分配的身份源,可以继续使用。有关更多信息,请参阅 [确认 IAM Identity Center 中的身份源](confirm-identity-source.md)。
+ 将成员账户注册为委托管理员。有关更多信息,请参阅 [委派管理](delegated-admin.md)。
+ IAM 身份中心为您提供 AWS 资源访问门户。如果您使用下一代防火墙 (NGFW) 或安全 Web 网关 (SWG) 等 Web 内容过滤解决方案来筛选对特定 AWS 域或 URL 端点的访问权限,请参阅。[更新防火墙和网关以允许访问 AWS 访问门户](enable-identity-center-portal-access.md)
------
#### [ Account ]
1. 请执行以下一项操作,登录 AWS 管理控制台。
+ ** AWS (root 用户)新**手 — 选择 R **oot 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者身份登录。在下一页上,输入您的密码。
+ **已在使用 AWS (IAM 证书)**— 使用具有管理权限的 IAM 凭证登录。
+ **已使用 AWS Organizations (IAM 证书)**-使用您的成员账户管理证书登录。
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 如果您是新手 AWS 或拥有独立版 AWS 账户,请在**启用 IAM 身份中心**下选择**启用**。
您将看到**结合 AWS Organizations启用 IAM Identity Center** 页面。我们推荐此选项,但非强制要求。
选择链接**启用 IAM Identity Center 的账户实例**。
1. 如果您是 AWS Organizations 成员账户的管理员,请在**启用 IAM Identity Center 的****账户实例下,选择启用账户实例**。
1. 在**启用 IAM Identity Center 账户实例**页面上,查看信息并*可选地*添加要与此账户实例关联的标签。然后选择**启用**以完成该过程。
**注意**
如果您的 AWS 账户是组织的成员,那么您启用 IAM Identity Center 账户实例的能力可能会受到限制。
如果您的组织在 2023 年 11 月 15 日之前启用了 IAM Identity Center,成员账户创建账户实例的功能默认禁用,需由组织管理账户手动启用。
如果您的组织在 2023 年 11 月 15 日之后启用了 IAM Identity Center,成员账户创建账户实例的功能默认启用。但组织可通过服务控制策略禁止创建 IAM Identity Center 账户实例。
有关更多信息,请参阅[允许在成员账户中创建账户实例](enable-account-instance-console.md)和[使用服务控制策略控制账户实例创建](control-account-instance.md)。
------
# 确认 IAM Identity Center 中的身份源
您在 IAM Identity Center 中的身份源定义了用户和组的管理位置。启用 IAM Identity Center 后,请确认您使用的是您选择的身份源。若已有分配的身份源,可以继续使用。
如果您已经在管理 Active Directory 或外部 IdP 中的用户和组,我们建议您在启用 IAM Identity Center 和选择身份源时考虑连接此身份源。在默认 Identity Center 目录中创建任何用户和组并进行任何分配之前,应先完成此操作。
如果您已经在 IAM Identity Center 中的一个身份源中管理用户和组,则更改为其他身份源可能会移除您在 IAM Identity Center 中配置的所有用户和组分配。如果发生这种情况,所有用户(包括 IAM Identity Center 中的管理用户)都将失去对其 AWS 账户 和应用程序的单点登录访问权限。有关更多信息,请参阅 [更改身份源的注意事项](manage-your-identity-source-considerations.md)。
**确认您的身份来源**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 在**控制面板**页面的**推荐设置步骤**部分下方,选择**确认身份源**。您也可以通过选择**设置**,然后选择**身份源**选项卡,访问此页面。
1. 如果您想保留已分配的身份源,则无需执行任何操作。如果您想对其做出更改,请选择**操作**,然后选择**更改身份源**。
您可以选择以下一个选项作为身份源:
**Identity Center 目录**
您首次启用 IAM Identity Center 后,IAM Identity Center 会自动配置 Identity Center 目录作为您的默认身份源。如果您尚未使用其他外部身份提供商,则可以开始创建您的用户和群组,并分配他们对您的 AWS 账户 和应用程序的访问级别。有关使用此身份源的教程,请参阅 [使用默认 IAM Identity Center 目录配置用户访问权限](quick-start-default-idc.md)。
**Active Directory**
如果您已经在使用 Directory Service 或中的自管理 AWS Managed Microsoft AD 目录中管理用户和群组Active Directory (AD),我们建议您在启用 IAM Identity Center 时连接该目录。请勿在默认的 Identity Center 目录中创建任何用户和组。IAM Identity Center 使用 AWS Directory Service 提供的连接将用户、组和成员资格信息从 Active Directory 中的源目录同步到 IAM Identity Center 身份存储。有关更多信息,请参阅 [Microsoft AD 目录](manage-your-identity-source-ad.md)。
IAM Identity Center 不支持将 SAMBA4基于的 Simple AD 作为身份源。
**外部身份提供商**
对于外部身份提供商 (IdPs),例如Okta或Microsoft Entra ID,您可以使用 IAM Identity Center IdPs 通过安全断言标记语言 (SAML) 2.0 标准对身份进行身份验证。SAML 协议不提供查询 IdP 以了解用户和组的方法。您可以通过将这些用户和组预置到 IAM Identity Center,使 IAM Identity Center 了解这些用户和组。在 IdP 支持的情况下,您可以使用跨域身份管理 (SCIM) v2.0 协议系统将用户和组的信息从 IdP 自动预置(同步)到 IAM Identity Center。如果不支持,您可以在 IAM Identity Center 手动输入用户名、电子邮件地址和组,手动预置用户和组。
有关设置身份源的详细说明,请参阅 [IAM Identity Center 身份源教程](tutorials.md)。
如果您计划使用外部身份提供商,请注意将由外部 IdP(而不是 IAM Identity Center)管理多重身份验证 (MFA) 设置。不支持外部身份提供者使用 IAM Identity Center 中的 MFA。有关更多信息,请参阅 [提示用户完成 MFA](mfa-getting-started.md)。
**注意**
如果您计划将 IAM Identity Center 复制到其他区域,则需要配置外部身份提供商。有关包括先决条件在内的更多详细信息,请参阅[跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。
# 更新防火墙和网关以允许访问 AWS 访问门户
AWS 访问门户为用户提供单点登录访问所有 AWS 账户 和最常用的云应用程序,例如 Office 365、Concur、Salesforce 等。只需在门户中选择 AWS 账户 或应用程序图标即可快速启动多个应用程序。
**注意**
AWS 托管应用程序与 IAM Identity Center 集成并用于身份验证和目录服务,但可能不会使用 AWS 访问门户进行应用程序访问。
如果您使用网络内容过滤解决方案(例如下一代防火墙 (NGFW) 或安全 Web 网关 (SWG))来筛选对特定 AWS 域或 URL 端点的访问,则必须将与访问门户关联的域和 URL 端点列入许可名单。 AWS
以下列表提供了要添加到您的网页内容过滤解决方案许可名单中的双栈域名和网址端点。 IPv4
**IPv4 允许名单**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com `
+ `*.sso-portal.[Region].amazonaws.com`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
**双栈允许列表**
+ `[Identity Center instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].api.aws`
+ `sso.[Region].api.aws`
+ `portal.sso.[Region].api.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`
**合并允许列表(IPv4 \$1 具有向后兼容性的双堆栈)**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `[Identity Centers instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `oidc.[Region].api.aws`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com`
+ `sso.[Region].api.aws`
+ `*.sso-portal.[Region].amazonaws.com`
+ `portal.sso.[Region].api.aws`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`
## 将域和 URL 端点列入许可列表的注意事项
除了 AWS 访问门户的许可名单要求外,您使用的其他服务和应用程序可能还需要将域列入许可名单。
+ 要从您的访问 AWS 账户门户 AWS 访问 AWS 管理控制台、和 IAM Identity Center 控制台,您必须将其他域列入许可名单。有关 AWS 管理控制台 域名列表,请参阅《*AWS 管理控制台 入门指南》*中的[疑难解答](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/troubleshooting.html)。
+ 要从您的访问门户 AWS 访问 AWS 托管应用程序,您必须将其各自的域列入许可名单。如需有关指导,请参阅相应服务文档。
+ 如果您使用外部软件,例如外部软件 IdPs (例如Okta和Microsoft Entra ID),则需要将其域名包括在许可名单中。