本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# IAM Identity Center 的組織和帳戶執行個體
執行個體是 IAM Identity Center 的單一部署。IAM Identity Center 有兩種類型的執行個體:*組織執行個體*和*帳戶執行個體*。
+ 組織執行個體 (建議)
您在 AWS Organizations 管理帳戶中啟用的 IAM Identity Center 執行個體。組織執行個體支援 IAM Identity Center 的所有功能。我們建議您部署組織執行個體,而不是帳戶執行個體,以將管理點的數量降至最低。
+ 帳戶執行個體
繫結至單一 的 IAM Identity Center 執行個體 AWS 帳戶,且僅在啟用該身分中心的 AWS 帳戶 和 AWS 區域中可見。針對更簡單的單一帳戶案例使用帳戶執行個體。您可以從下列其中一項啟用帳戶執行個體:
+ 不是由 管理 AWS 帳戶 的 AWS Organizations
+ 中的成員帳戶 AWS Organizations
## AWS 帳戶 可啟用 IAM Identity Center 的類型
若要啟用 IAM Identity Center,請根據您要建立的執行個體類型, AWS 管理主控台 使用下列其中一個登入資料登入 :
+ **您的 AWS Organizations 管理帳戶 (建議)** – 建立 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)時需要。將組織執行個體用於整個組織的多帳戶許可和應用程式指派。
+ **您的 AWS Organizations 成員帳戶** – 用來建立 IAM Identity Center [的帳戶執行個體](account-instances-identity-center.md),以在該成員帳戶中啟用應用程式指派。組織中可以存在具有成員層級執行個體的一或多個帳戶。
+ **獨立 AWS 帳戶** – 用來建立 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)或[帳戶執行個體](account-instances-identity-center.md)。獨立 AWS 帳戶 不是由 管理 AWS Organizations。您只能將 IAM Identity Center 的一個執行個體與獨立建立關聯, AWS 帳戶 並使用該執行個體在該獨立內進行應用程式指派 AWS 帳戶。
使用下表來比較執行個體類型所提供的功能:
| 功能 | AWS Organizations 管理帳戶中的執行個體 (建議) | 成員帳戶中的執行個體 | 獨立 中的執行個體 AWS 帳戶 |
| --- | --- | --- | --- |
| 管理使用者 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| AWS 存取受管 AWS 應用程式的單一登入存取入口網站 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| OAuth 2.0 (OIDC) 客戶受管應用程式 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png)是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png)是 |
| 多帳戶許可 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 |
| AWS 存取 時單一登入的存取入口網站 AWS 帳戶 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 |
| SAML 2.0 客戶受管應用程式 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 |
| 委派管理員可以管理執行個體 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 |
| 使用客戶管理的 KMS 金鑰進行靜態加密 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 |
| 將 IAM Identity Center 複寫至其他區域 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-no.png) 否 |
如需 AWS 受管應用程式和 IAM Identity Center 的詳細資訊,請參閱 [AWS 可與 IAM Identity Center 搭配使用的 受管應用程式](awsapps-that-work-with-identity-center.md)。
**Topics**
+ [AWS 帳戶 可啟用 IAM Identity Center 的類型](#identity-center-instances-account-types)
+ [IAM Identity Center 的組織執行個體](organization-instances-identity-center.md)
+ [IAM Identity Center 的帳戶執行個體。](account-instances-identity-center.md)
+ [刪除您的 IAM Identity Center 執行個體](delete-config.md)
# IAM Identity Center 的組織執行個體
搭配 啟用 IAM Identity Center 時 AWS Organizations,您要建立 IAM Identity Center 的組織執行個體。您必須在管理帳戶中啟用組織執行個體,之後即可透過單一組織執行個體集中管理使用者與群組的存取權限。每個管理帳戶只能有一個組織執行個體 AWS Organizations。
如果您在 2023 年 11 月 15 日之前啟用 IAM Identity Center,則您有一個 IAM Identity Center 的組織執行個體。
若要啟用 IAM Identity Center 的組織執行個體,請參閱 [啟用 IAM Identity Center 的執行個體](enable-identity-center.md#to-enable-identity-center-instance)。
## 何時使用組織執行個體
組織執行個體是啟用 IAM Identity Center 的主要方法,通常建議使用組織執行個體。組織執行個體提供下列優點:
+ **支援 IAM Identity Center 的所有功能** – 包括管理 AWS 帳戶 組織中多個 的許可、指派客戶受管應用程式的存取權,以及多區域複寫。
+ **減少管理點的數量** – 組織執行個體具有單一管理點,即管理帳戶。我們建議您啟用組織執行個體,而不是帳戶執行個體,以減少管理點的數量。
+ **建立帳戶執行個體的集中控制** – 只要您尚未將 IAM Identity Center 執行個體部署到選擇加入區域 (預設為停用)AWS 區域 中的組織,就可以控制您組織中的成員帳戶是否可以建立帳戶執行個體。
如需啟用 IAM Identity Center 組織執行個體的說明,請參閱 [啟用 IAM Identity Center 的執行個體](enable-identity-center.md#to-enable-identity-center-instance)。
# IAM Identity Center 的帳戶執行個體。
透過 IAM Identity Center 的帳戶執行個體,您可以部署支援的 AWS 受管應用程式和以 OIDC 為基礎的客戶受管應用程式。帳戶執行個體支援在單一 中隔離部署應用程式 AWS 帳戶,利用 IAM Identity Center 人力資源身分和存取入口網站功能。
帳戶執行個體繫結至單一 AWS 帳戶 ,且僅用於管理相同帳戶和 中受支援應用程式的使用者和群組存取權 AWS 區域。每個 限制一個帳戶執行個體 AWS 帳戶。您可以從下列其中一項建立帳戶執行個體: 中的成員帳戶 AWS Organizations 或非 AWS 帳戶 管理的獨立帳戶 AWS Organizations。
如需啟用 IAM Identity Center 帳戶執行個體的說明,請參閱[啟用 IAM Identity Center 的執行個體](enable-identity-center.md#to-enable-identity-center-instance)並選擇**帳戶**索引標籤。
## 何時使用 帳戶執行個體
在大多數情況下,建議使用[組織執行個體](organization-instances-identity-center.md)。只有在下列其中一個案例適用時,才使用帳戶執行個體:
+ 您想要執行受支援 AWS 受管應用程式的暫時試用,以判斷應用程式是否符合您的業務需求。
+ 您沒有計劃在整個組織中採用 IAM Identity Center,但您想要支援一或多個 AWS 受管應用程式。
+ 您有 IAM Identity Center 的組織執行個體,但您想要將支援的 AWS 受管應用程式部署到與組織執行個體中使用者不同的隔離使用者集。
+ 您無法控制營運所在的 AWS 組織。例如,第三方會控制管理您 AWS 的組織 AWS 帳戶。
**重要**
如果您計劃使用 IAM Identity Center 支援多個帳戶中的應用程式,請使用組織執行個體。帳戶執行個體不支援此使用案例。
## AWS 支援帳戶執行個體的 受管應用程式
請參閱 [AWS 可與 IAM Identity Center 搭配使用的 受管應用程式](awsapps-that-work-with-identity-center.md) 以了解哪些 AWS 受管應用程式支援 IAM Identity Center 的帳戶執行個體。使用 AWS 受管應用程式驗證帳戶執行個體建立的可用性。
## 成員帳戶的可用性限制
若要在 AWS Organizations 成員帳戶中部署 IAM Identity Center 的帳戶執行個體,下列其中一個條件必須為 true:
+ 您的組織中沒有 IAM Identity Center 的組織執行個體。
+ 您的組織中有 IAM Identity Center 的組織執行個體,且執行個體管理員允許建立 IAM Identity Center 的帳戶執行個體 (適用於 2023 年 11 月 15 日之後建立的組織執行個體)。
+ 您的組織中有 IAM Identity Center 的組織執行個體,而執行個體管理員則由組織中的成員帳戶手動啟用帳戶執行個體的建立 (適用於 2023 年 11 月 15 日之前建立的組織執行個體)。如需說明,請參閱[允許在成員帳戶中建立帳戶執行個體](enable-account-instance-console.md)。
符合上述其中一個條件後,下列所有條件都必須為 true:
+ 您的管理員尚未建立[服務控制政策](control-account-instance.md),以防止成員帳戶建立帳戶執行個體。
+ 無論 為何,您在此相同帳戶中還沒有 IAM Identity Center 的執行個體 AWS 區域。
+ 您正在可使用 IAM Identity Center AWS 區域 的 中工作。如需 區域的詳細資訊,請參閱 [IAM Identity Center 區域資料儲存和操作](regions.md)。
## 帳戶執行個體考量事項
帳戶執行個體是專為特殊使用案例所設計,並提供組織執行個體可用的功能子集。在建立帳戶執行個體之前,請考慮下列事項:
+ 帳戶執行個體不支援許可集,因此不支援 的存取 AWS 帳戶。
+ 您無法將帳戶執行個體轉換或合併至組織執行個體。
+ 僅選取[AWS 受管應用程式](awsapps-that-work-with-identity-center.md)支援帳戶執行個體。
+ 將帳戶執行個體用於隔離的使用者,這些使用者只會在單一帳戶中使用應用程式,並在使用的應用程式的生命週期內使用。
+ 連接到帳戶執行個體的應用程式必須保持連接到帳戶執行個體,直到您刪除應用程式及其資源為止。
+ 帳戶執行個體必須保留在建立該執行個體 AWS 帳戶 的 中。
# 允許在成員帳戶中建立帳戶執行個體
如果您在 2023 年 11 月 15 日之前啟用 IAM Identity Center,您有一個 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md),可讓成員帳戶建立預設停用的帳戶執行個體。您可以在 IAM Identity Center 主控台中啟用帳戶執行個體功能,以選擇您的成員帳戶是否可以建立帳戶執行個體。
**啟用由組織中成員帳戶建立帳戶執行個體**
**重要**
為成員帳戶啟用 IAM Identity Center 的帳戶執行個體是一次性操作。這表示此操作無法反轉。啟用後,您可以透過建立服務控制政策 (SCP) 來限制帳戶執行個體的建立。如需說明,請參閱[使用服務控制政策來控制帳戶執行個體的建立](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html)。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**,然後選擇**管理**索引標籤。
1. 在 **IAM Identity Center 的帳戶執行個體**區段中,選擇**啟用 IAM Identity Center 的帳戶執行個體**。
1. 在**啟用 IAM Identity Center 帳戶執行個體**對話方塊中,選擇**啟用**,確認您想要允許組織中的成員帳戶建立帳戶執行個體。
# 使用服務控制政策來控制帳戶執行個體的建立
成員帳戶建立帳戶執行個體的能力取決於您何時啟用 IAM Identity Center:
+ **2023 年 11 月之前** – 您必須[允許在成員帳戶中建立帳戶執行個體](enable-account-instance-console.md),這是無法反轉的動作。
+ **2023 年 11 月 15 日之後 – 根據預設,**成員帳戶可以建立帳戶執行個體。
在任何一種情況下,您都可以使用服務控制政策 SCPs) 來:
+ 防止所有成員帳戶建立帳戶執行個體。
+ 僅允許特定成員帳戶建立帳戶執行個體。
## 防止帳戶執行個體
使用下列程序產生 SCP,以防止成員帳戶建立 IAM Identity Center 的帳戶執行個體。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在**儀表板**的**中央管理**區段中,選擇**防止帳戶執行個體**按鈕。
1. 在**連接 SCP 以防止建立新帳戶執行個體**對話方塊中,會為您提供 SCP。複製 SCP 並選擇**前往 SCP 儀表板**按鈕。系統會將您導向至 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)來建立 SCP,或將其做為陳述式連接到現有的 SCP。SCPs是 的一項功能 AWS Organizations。如需連接 SCP 的說明,請參閱《 使用者指南》中的[連接和分離服務控制政策](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。 *AWS Organizations *
## 限制帳戶執行個體
除*「」*預留位置中明確列出的帳戶執行個體 AWS 帳戶 外,此政策不會阻止建立所有帳戶執行個體,而是拒絕嘗試為所有帳戶建立 IAM Identity Center 的帳戶執行個體。
**Example :拒絕政策以限制帳戶執行個體建立**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ 將 【*「」*) 取代為您想要允許 建立 IAM Identity Center 帳戶執行個體的實際 AWS 帳戶 ID。
+ 您可以列出陣列格式的多個允許帳戶 IDs:【*"111122223333"、"444455556666"*】。
+ 將此政策連接至您的組織 SCP,以強制執行對 IAM Identity Center 帳戶執行個體建立的集中控制。
如需連接 SCP 的指示,請參閱《 使用者指南》中的[連接和分離服務控制政策](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。 *AWS Organizations *
# 刪除您的 IAM Identity Center 執行個體
刪除 IAM Identity Center 執行個體時,會刪除該執行個體中的所有資料,且無法復原。下表說明根據在 IAM Identity Center 中設定的目錄類型刪除哪些資料。
| 刪除哪些資料 | 連線目錄 -、 AWS Managed Microsoft AD AD Connector 或外部身分提供者 | IAM Identity Center 身分存放區 |
| --- | --- | --- |
| 您已為 設定的所有許可集 AWS 帳戶 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| 您在 IAM Identity Center 中設定的所有應用程式 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| 您已為 AWS 帳戶 和 應用程式設定的所有使用者指派 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 |
| 目錄或存放區中的所有使用者和群組 | 無 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/icon-yes.png) 是 |
如果您將 IAM Identity Center 執行個體複寫到其他區域,您必須先移除這些區域,才能刪除執行個體。
使用下列程序刪除您的 IAM Identity Center 執行個體。
**刪除您的 IAM Identity Center 執行個體**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在**設定**頁面上,選擇**管理**索引標籤。
1. 在**刪除 IAM Identity Center 組態**區段中,選擇**刪除**。
1. 在**刪除 IAM Identity Center 組態**對話方塊中,選取每個核取方塊以確認您了解您的資料將被刪除。在文字方塊中輸入 IAM Identity Center 執行個體,然後選擇**確認**。