本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # IAM Identity Center 指引 AWS Control Tower 建議您使用 AWS Identity and Access Management (IAM) 來規範對 的存取 AWS 帳戶。不過,您可以選擇 AWS Control Tower 是否為您設定 IAM Identity Center、您是否以最符合您業務需求的方式為自己設定 IAM Identity Center,還是選擇其他帳戶存取方法。 **注意** **SSO** 是技術產業用來表示*單一登入*的縮寫。一般而言,SSO 是工作階段和使用者身分驗證服務。它允許某人使用一組登入憑證來存取許多應用程式。參考 中的單一登入功能時 AWS,我們指的是名為 AWS 的服務**AWS Identity and Access Management**,並縮寫為 **IAM** 或 **IAM Identity Center**。 根據預設,AWS Control Tower AWS 會為您的登陸區域設定 IAM Identity Center,以符合[使用多個帳戶整理 AWS 環境](https://docs.aws.amazon.com//whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)時所定義的最佳實務指引。大多數客戶都會選擇預設值。有時需要替代的存取方法,才能在特定產業或國家/地區的法規合規,或是無法使用 AWS IAM Identity Center AWS 區域 的 。 **選擇選項** 從主控台,您可以選擇在登陸區域設定程序中自我管理 IAM Identity Center,而不是允許 AWS Control Tower 為您設定。稍後,您可以在登陸區域設定****頁面上修改登陸區域設定並更新登陸區域,以選擇變更此選項。 **若要停止 AWS Control Tower AWS 中的 IAM Identity Center,或開始使用 AWS IAM Identity Center** 1. 導覽至登陸區域**設定**頁面 1. 選取**組態**索引標籤 1. 然後選擇適當的選項按鈕,以變更 IAM Identity Center AWS 的選擇。 在您選擇自行管理 AWS IAM Identity Center 做為 IdP 之後,AWS Control Tower 只會建立管理 AWS Control Tower 所需的這些角色和政策,例如 `AWSControlTowerAdmin`和 `AWSControlTowerAdminPolicy`。對於自我管理的登陸區域,AWS Control Tower 不再為客戶特定用途建立 IAM 角色和群組,而不是在登陸區域設定程序期間,或在帳戶工廠的帳戶佈建期間。 **注意** 如果您從 AWS Control Tower AWS 登陸區域移除 IAM Identity Center,則不會移除 AWS Control Tower 建立的使用者、群組和許可集。我們建議您移除這些資源。 具有替代身分提供者 IdPs) 的帳戶工廠客戶,例如 Azure AD、Ping 或 Okta,可以遵循 AWS IAM Identity Center [程序](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-idp.html)連線到外部身分提供者並加入其 IdP。您可以隨時修改登陸區域設定,讓 AWS Control Tower 產生您的群組和角色。 + 如需 AWS Control Tower 如何根據您的身分來源與 IAM Identity Center 搭配使用的特定資訊,請參閱《 使用者指南*》入門*頁面的[啟動前檢查](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-prereqs.html#sso-considerations)一節中的** AWS IAM Identity Center 客戶考量事項**。 + 如需 AWS Control Tower 行為如何與 IAM Identity Center 和不同身分來源互動的其他資訊,請參閱《*IAM Identity Center 使用者指南*》中的[變更身分來源的考量](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-considerations.html)。 + 如需使用 AWS Control Tower 和 IAM Identity Center 的詳細資訊[使用 AWS IAM Identity Center 和 AWS Control Tower](sso.md),請參閱 。