本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# IAM Identity Center 是什么?
AWS IAM Identity Center 是将您的员工用户连接到 Kiro 和 Amazon Quick 等 AWS 托管应用程序以及其他 AWS 资源的 AWS 解决方案。您可以连接现有身份提供者,同步目录中的用户和组,或者直接在 IAM Identity Center 中创建和管理用户。然后,您可以将 IAM Identity Center 用于以下一个或两个用途:
+ 用户对应用程序的访问权限
+ 用户访问权限 AWS 账户
**已经在使用 IAM 进行访问了 AWS 账户吗?**
您无需对当前 AWS 账户 的工作流程进行任何更改即可使用 IAM Identity Center 访问 AWS 托管应用程序。如果您使用[与 IAM 的联合](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam)身份验证进行 AWS 账户 访问,则您的用户可以继续以与往常相同的方式进行访问 AWS 账户 ,并且您可以继续使用现有的工作流程来管理该访问权限。
## 为何使用 IAM Identity Center?
IAM Identity Center 通过以下关键功能简化并简化了员工用户对应用程序或 AWS 账户两者的访问。
**与 AWS 托管应用程序集成**
[AWS 托管应用程序](awsapps.md),例如 Kiro,并 Amazon Redshift 与 IAM 身份中心集成。IAM Identity Center 为 AWS 托管应用程序提供了用户和群组的通用视图。
**跨应用程序的可信身份传播 **
通过可信身份传播,诸如 Amazon Quick 之类的托 AWS 管应用程序可以安全地与其他 AWS 托管应用程序(例如)共享用户的身份, Amazon Redshift 并根据用户的身份授权访问 AWS 资源。您可以更轻松地审计用户活动,因为 CloudTrail 事件是根据用户和用户启动的操作记录的。这可让您更轻松地用户的访问记录。有关支持的用例的信息,包括 end-to-end配置指南,请参阅[可信身份传播应用场景](trustedidentitypropagation-integrations.md)。
**一站式为多个 AWS 账户分配权限**
借助多账户权限,IAM Identity Center 提供了集中向多个 AWS 账户中的用户组分配权限的平台。您可以根据常见的工作职能创建权限,或定义满足您安全需求的自定义权限。然后,您可以将这些权限分配给员工用户,以控制他们对特定的访问权限 AWS 账户。
此可选功能仅适用于 IAM Identity Center 的[组织实例](organization-instances-identity-center.md)。
**一个联合身份验证点可简化对 AWS的用户访问权限**
通过提供一个联合点,IAM Identity Center 减少了使用多个 AWS 托管应用程序所需的管理工作和 AWS 账户。通过 IAM Identity Center,您只需进行一次联合身份验证,并且在使用 [https://wiki.oasis-open.org/security](https://wiki.oasis-open.org/security) 身份提供者时只需管理一个证书。IAM Identity Center 为 AWS 托管应用程序提供用户和群组的通用视图,用于可信身份传播用例,或者当用户与其他人共享 AWS 资源访问权限时。
有关如何配置常用身份提供者来使用 IAM Identity Center 的信息,请参阅 [IAM Identity Center 身份源教程](tutorials.md)。当前没有身份提供者,可[直接在 IAM Identity Center 目录中创建和管理用户](quick-start-default-idc.md)。
**两种实例类型**
IAM Identity Center 支持两种类型的实例:*组织实例*和*账户实例*。使用组织实例是最佳做法。它是唯一允许您管理访问权限的实例, AWS 账户 建议将其用于应用程序的所有生产用途。组织实例部署在 AWS Organizations 管理账户中,可让您通过单点管理用户访问权限 AWS。
账户实例绑定 AWS 账户 到启用它们的。仅使用 IAM Identity Center 的账户实例来支持特定 AWS 托管应用程序的隔离部署。有关更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
**便于用户访问的 Web 门户**
AWS 访问门户是一个用户友好的门户网站,可让您的用户无缝访问他们分配的所有应用程序 AWS 账户,或两者兼而有之。
**多区域访问 AWS 账户 和应用程序**
当您将您的 IAM Identity Center 实例复制到其他区域时,您的员工可以通过所有启用的区域访问分配给 AWS 账户 他们的应用程序和应用程序,并且他们可以在每个启用的区域中部署 AWS 托管应用程序。
## IAM Identity Center 重命名
2022 年 7 月 26 日,“ AWS 单点登录” 更名为。 AWS IAM Identity Center
### 旧命名空间保持不变
出于向后兼容目的,`sso` 和 `identitystore` API 命名空间以及以下相关命名空间**保持不变**。
+ CLI 命令
+ [https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html)
+ [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/index.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/index.html)
+ [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/index.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/index.html)
+ [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso-admin/index.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso-admin/index.html)
+ [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso-oidc/index.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso-oidc/index.html)
+ 包含 `AWSSSO` 和 `AWSIdentitySync` 前缀的[管理型策略](https://docs.aws.amazon.com//singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ 包含 `sso` 和 `identitystore` 的[服务端点](https://docs.aws.amazon.com//general/latest/gr/sso.html#sso_region)
+ 包含 `AWS::SSO` 前缀的 [CloudFormation](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/AWS_SSO.html) 资源
+ 包含 `AWSServiceRoleForSSO` 的[服务相关角色](https://docs.aws.amazon.com//singlesignon/latest/userguide/using-service-linked-roles.html#slr-permissions)
+ 控制台 URLs 包含`sso`和 `singlesignon`
+ URLs 包含以下内容的文档 `singlesignon`