本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM Identity Center 先決條件和考量事項
<a name="identity-center-prerequisites"></a>

您可以使用 IAM Identity Center 僅存取 AWS 受管應用程式、 AWS 帳戶 僅存取受管應用程式，或同時存取兩者。如果您使用 IAM 聯合來管理對 的存取 AWS 帳戶，則可以在使用 IAM Identity Center 進行應用程式存取時繼續這樣做。

啟用 IAM Identity Center 之前，請考慮下列事項：
+ AWS 區域

  您必須先在 IAM Identity Center 每個執行個體的單一[支援](regions.md)區域中啟用 IAM Identity Center。如果您想要在存取 AWS 帳戶時使用 IAM Identity Center 進行單一登入，則該區域必須可供組織中的所有使用者存取。如果您計劃使用 IAM Identity Center 進行應用程式存取，請注意，某些 AWS 受管應用程式，例如 Amazon SageMaker AI，只能在其支援的區域中操作。此外，大多數 AWS 受管應用程式都需要在與應用程式相同的區域中使用 IAM Identity Center。這可以透過將它們在同一區域中聯合放置，或在支援時，將 IAM Identity Center 執行個體複寫到 AWS 受管應用程式的所需部署區域來實現。如需詳細資訊，請參閱[選擇 的考量事項 AWS 區域](identity-center-region-considerations.md)。
+ 僅限應用程式存取

  您只能使用現有身分提供者，將 IAM Identity Center 用於使用者存取應用程式，例如 Kiro。如需詳細資訊，請參閱[使用 IAM Identity Center 僅供使用者存取應用程式](identity-center-for-apps-only.md)。
**注意**  
應用程式資源的存取由應用程式擁有者獨立管理。
+ IAM 角色的配額

  IAM Identity Center 會建立 IAM 角色，以授予使用者帳戶資源的許可。如需詳細資訊，請參閱[IAM Identity Center 建立的 IAM 角色](identity-center-and-iam-roles.md)。
+ IAM Identity Center 和 AWS Organizations

  AWS Organizations 建議與 IAM Identity Center 搭配使用，但非必要。如果您尚未設定組織，則不需要。如果您已經設定 AWS Organizations 並將新增 IAM Identity Center 到您的組織，請確定所有 AWS Organizations 功能都已啟用。如需詳細資訊，請參閱[IAM Identity Center 和 AWS Organizations](identity-center-and-orgs.md)。

IAM Identity Center Web 介面，包括存取入口網站和 IAM Identity Center 主控台，旨在供人類透過支援的 Web 瀏覽器存取。相容瀏覽器包括 Microsoft Edge、Mozilla Firefox、Google Chrome 和 Apple Safari 的最新版本。不支援使用非瀏覽器型路徑存取這些端點。若要以程式設計方式存取 IAM Identity Center 服務，建議您使用 IAM Identity Center 和 Identity Store APIs 參考指南中提供的文件化 API。

# 選擇 的考量事項 AWS 區域
<a name="identity-center-region-considerations"></a>

您可以在 AWS 區域 您選擇的單一支援中啟用 IAM Identity Center，並且可供全球使用者使用。此全域可用性可讓您更輕鬆地設定使用者存取多個 AWS 帳戶 和 應用程式。以下是選擇 的重要考量 AWS 區域。
+ **使用者的地理位置** – 當您選取地理位置最接近大多數最終使用者的 區域時，他們存取 AWS 存取入口網站和 AWS 受管應用程式的延遲會較低，例如 Amazon SageMaker AI。
+ **選擇加入區域 （預設為停用的區域）** – 選擇加入區域是預設為停用 AWS 區域 的 。若要使用選擇加入區域，您必須啟用該區域。如需詳細資訊，請參閱[在選擇加入區域中管理 IAM Identity Center](regions.md#manually-enabled-regions)。
+ **將 IAM Identity Center 複寫至其他區域** – 如果您計劃將 IAM Identity Center 複寫至其他區域 AWS 區域，您必須選擇預設啟用的區域。如需詳細資訊，請參閱[跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。
+ **選擇 AWS 受管應用程式的部署區域** – AWS 受管應用程式只能在可用的 AWS 區域 中操作。許多 AWS 受管應用程式也只能在啟用或複寫 IAM Identity Center 的區域中操作 （主要或其他區域）。若要確認您的 IAM Identity Center 執行個體是否支援複寫至其他區域，請參閱 [跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。如果複寫不是選項，請考慮在您計劃使用 AWS 受管應用程式的區域中啟用 IAM Identity Center。
+ **數位主權** – 數位主權法規或公司政策可能強制使用特定 AWS 區域。請洽詢您公司的法務部門。
+ **身分來源** – 如果您使用 [Active Directory (AD)](connectonpremad.md) 中的 [AWS Managed Microsoft AD](connectawsad.md)或自我管理目錄做為身分來源，其主區域必須符合您啟用 IAM Identity Center AWS 區域 的 。
+ **使用 Amazon Simple Email Service 的跨區域電子郵件** – 在某些區域中，IAM Identity Center 可能會呼叫不同區域中的 [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) 來傳送電子郵件。在這些跨區域呼叫中，IAM Identity Center 會將特定使用者屬性傳送至其他區域。如需詳細資訊，請參閱[使用 Amazon SES 的跨區域電子郵件](regions.md#cross-region-calls)。
+ **AWS Control Tower** – 如果您要從中啟用 IAM Identity Center 的組織執行個體 AWS Control Tower，執行個體將在 AWS Control Tower 與登陸區域相同的區域中建立。

**Topics**
+ [IAM Identity Center 區域資料儲存和操作](regions.md)
+ [切換 AWS 區域](switching-regions.md)
+ [停用已啟用 IAM Identity Center AWS 區域 的](disabling-region-with-identity-center.md)

# IAM Identity Center 區域資料儲存和操作
<a name="regions"></a>

了解 IAM Identity Center 如何跨 處理資料儲存和操作 AWS 區域。

## 了解 IAM Identity Center 如何存放資料
<a name="region-data"></a>

當您啟用 IAM Identity Center 時，您在 IAM Identity Center 中設定的所有資料都會存放在您啟用它的區域中。此資料包含目錄組態、許可集、應用程式執行個體，以及 AWS 帳戶 應用程式的使用者指派。如果您使用的是 IAM Identity Center 身分存放區，您在 IAM Identity Center 中建立的所有使用者和群組也會儲存在相同的區域中。如果您將 IAM Identity Center 執行個體複寫至其他區域，IAM Identity Center 會自動將使用者、群組、許可集及其指派，以及其他中繼資料和組態複寫至這些區域。

## 使用 Amazon SES 的跨區域電子郵件
<a name="cross-region-calls"></a>

 IAM Identity Center 使用 [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)，在使用者嘗試使用一次性密碼 (OTP) 作為第二個身分驗證因素登入時傳送電子郵件給最終使用者。這些電子郵件也會針對特定身分和憑證管理事件傳送，例如當使用者受邀設定初始密碼、驗證電子郵件地址，以及重設密碼時。Amazon SES 可在 IAM Identity Center AWS 區域 支援的子集中使用。

 當 Amazon SES 在本機提供時，IAM Identity Center 會呼叫 Amazon SES 本機端點 AWS 區域。當 Amazon SES 無法在本機使用時，IAM Identity Center 會呼叫不同 中的 Amazon SES 端點 AWS 區域，如下表所示。


| IAM Identity Center 區域碼 | IAM Identity Center 區域名稱 | Amazon SES 區域碼 | Amazon SES 區域名稱 | 
| --- | --- | --- | --- | 
| ap-east-1 | 亞太地區 (香港) | ap-northeast-2 | 亞太地區 (首爾) | 
| ap-east-2 | 亞太區域 (台北) | ap-northeast-1 | 亞太地區 (東京) | 
| ap-south-2 | 亞太地區 (海德拉巴) | ap-south-1 | 亞太地區 (孟買) | 
| ap-southeast-4 | 亞太地區 (墨爾本) | ap-southeast-2 | 亞太地區 (悉尼) | 
| ap-southeast-5 | 亞太地區 (馬來西亞) | ap-southeast-1 | 亞太地區 (新加坡) | 
| ap-southeast-6 | 亞太區域 (紐西蘭) | ap-southeast-2 | 亞太地區 (悉尼) | 
| ap-southeast-7 | 亞太區域 (泰國) | ap-northeast-3 | 亞太地區 (大阪) | 
| ca-west-1 | 加拿大西部 (卡加利) | ca-central-1 | 加拿大 (中部) | 
| eu-south-2 | 歐洲 (西班牙) | eu-west-3 | Europe (Paris) | 
| eu-central-2 | 歐洲 (蘇黎世) | eu-central-1 | 歐洲 (法蘭克福) | 
| mx-central-1 | 墨西哥 (中部) | us-east-2 | 美國東部 (俄亥俄) | 
| me-central-1 | 中東 (阿拉伯聯合大公國) | eu-central-1 | 歐洲 (法蘭克福) | 
| us-gov-east-1 | AWS GovCloud （美國東部） | us-gov-west-1 | AWS GovCloud （美國西部） | 

 在這些跨區域呼叫中，IAM Identity Center 可能會傳送下列使用者屬性：
+ 電子郵件地址
+ 名字
+ 姓氏
+ 中的帳戶 AWS Organizations
+ AWS 存取入口網站 URL
+ 使用者名稱
+ 目錄 ID
+ 使用者 ID

## 在選擇加入區域中管理 IAM Identity Center （預設為停用的區域）
<a name="manually-enabled-regions"></a>

根據預設，大多數 AWS 區域 都已啟用所有 AWS 服務中的操作，但如果您想要使用 IAM Identity Center，則必須啟用下列[選擇加入區域](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion)：
+ 非洲 (開普敦)
+ 亞太地區 (香港)
+ 亞太區域 (台北)
+ 亞太地區 (海德拉巴)
+ 亞太地區 (雅加達)
+ 亞太地區 (墨爾本)
+ 亞太區域 (馬來西亞)
+ 亞太區域 (紐西蘭)
+ 亞太區域 (泰國)
+ 加拿大西部 (卡加利)
+ 歐洲 (米蘭)
+ 歐洲 (西班牙)
+ 歐洲 (蘇黎世)
+ 以色列 (特拉維夫)
+ 墨西哥 (中部)
+ Middle East (Bahrain)
+ 中東 (阿拉伯聯合大公國)

 如果您在選擇加入區域部署 IAM Identity Center，則必須在您要管理 IAM Identity Center 存取權的所有帳戶中啟用此區域。無論您是否要在該區域中建立資源，所有帳戶都需要此組態。您可以為組織中的目前帳戶啟用區域，您必須在新增帳戶時重複此動作。如需說明，請參閱*AWS Organizations 《 使用者指南*》中的[啟用或停用組織中的區域](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization)。若要避免重複這些額外步驟，您可以選擇在[預設啟用的區域中](#regions-enabled-by-default)部署 IAM Identity Center。

**注意**  
您的 AWS 成員帳戶必須選擇加入與您的 IAM Identity Center 執行個體所在選擇加入區域相同的區域，以便您可以從存取入口網站 AWS 存取 AWS 成員帳戶。

**儲存在選擇加入區域中的中繼資料**  
當您為選擇加入的管理帳戶啟用 IAM Identity Center 時 AWS 區域，任何成員帳戶的下列 IAM Identity Center 中繼資料都會存放在 區域中。
+ 帳戶 ID
+ 帳戶名稱
+ 帳戶電子郵件
+ IAM Identity Center 在成員帳戶中建立的 IAM 角色的 Amazon Resource Name ARNs)

## AWS 區域 預設為啟用
<a name="regions-enabled-by-default"></a>

下列區域預設為啟用，您可以在這些區域中啟用 IAM Identity Center。
+ 美國東部 (俄亥俄)
+ 美國東部 (維吉尼亞北部)
+ 美國西部 (奧勒岡)
+ 美國西部 (加利佛尼亞北部)
+ Europe (Paris)
+ 南美洲 (聖保羅)
+ 亞太地區 (孟買)
+ 歐洲 (斯德哥爾摩)
+ 亞太地區 (首爾)
+ 亞太地區 (東京)
+ 歐洲 (愛爾蘭)
+ 歐洲 (法蘭克福)
+ 歐洲 (倫敦)
+ 亞太地區 (新加坡)
+ 亞太地區 (雪梨)
+ 加拿大 (中部)
+ 亞太地區 (大阪)

# 切換 AWS 區域
<a name="switching-regions"></a>

建議您將 IAM Identity Center 安裝在您想要讓使用者保持可用的區域中，而不是您可能需要停用的區域。如需詳細資訊，請參閱[選擇 的考量事項 AWS 區域](identity-center-region-considerations.md)。

您只能透過[刪除目前的 IAM Identity Center 執行個體，並在另一個區域中建立執行個體來切換 IAM Identity Center](delete-config.md) 區域。如果您已使用現有的 IAM Identity Center 執行個體啟用 AWS 受管應用程式，請在刪除 IAM Identity Center 之前停用應用程式。如需停用 AWS 受管應用程式的指示，請參閱 [停用 AWS 受管應用程式](awsapps-remove.md)。

**注意**  
如果您正在考慮切換 IAM Identity Center 區域，以在另一個區域中啟用 AWS 受管應用程式的部署，請考慮改為將 IAM Identity Center 執行個體複寫至該區域。如需詳細資訊，請參閱[跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。

**新區域中的組態考量事項**  
 您必須在新的 IAM Identity Center 執行個體中重新建立使用者、群組、許可集、應用程式和指派。您可以使用 IAM Identity Center 帳戶和應用程式指派 [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) 來取得組態的快照，然後使用該快照在新區域中重建組態。切換到不同的區域也會變更[AWS 存取入口網站](using-the-portal.md)的 URL，這可讓您的使用者透過單一登入存取其 AWS 帳戶 和 應用程式。您可能還需要透過新執行個體的管理主控台重新建立一些 IAM Identity Center 組態。

# 停用已啟用 IAM Identity Center AWS 區域 的
<a name="disabling-region-with-identity-center"></a>

如果您停用已安裝 IAM Identity Center AWS 區域 的 ，IAM Identity Center 也會停用。在 區域中停用 IAM Identity Center 之後，該區域中的使用者將無法單一登入存取 AWS 帳戶 和 應用程式。

若要在[選擇加入 AWS 區域](regions.md#manually-enabled-regions)中重新啟用 IAM Identity Center，您必須重新啟用區域。由於 IAM Identity Center 必須重新處理所有暫停的事件，重新啟用 IAM Identity Center 可能需要一些時間。

**注意**  
IAM Identity Center 只能管理 AWS 帳戶 在 中啟用的 存取權 AWS 區域。若要管理組織中所有帳戶的存取權，請在 中的管理帳戶中啟用 IAM Identity Center AWS 區域 ，該帳戶會自動啟用以與 IAM Identity Center 搭配使用。

如需啟用和停用的詳細資訊 AWS 區域，請參閱《 *AWS 一般參考*》中的[管理 AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)。

# 使用 IAM Identity Center 僅供使用者存取應用程式
<a name="identity-center-for-apps-only"></a>

 您可以使用 IAM Identity Center 來使用者存取應用程式，例如 Kiro AWS 帳戶或兩者。您可以連接現有的身分提供者，並從目錄同步使用者和群組，或[直接在 IAM Identity Center 中建立和管理使用者](quick-start-default-idc.md)。如需如何將現有身分提供者連線至 IAM Identity Center 的資訊，請參閱 [IAM Identity Center 身分來源教學課程](tutorials.md)。

**已使用 IAM 存取 AWS 帳戶？**

您不需要對目前的 AWS 帳戶 工作流程進行任何變更，即可使用 IAM Identity Center 存取 AWS 受管應用程式。如果您使用[聯合身分搭配 IAM ](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam)進行 AWS 帳戶 存取，您的使用者可以繼續以他們一直擁有 AWS 帳戶 的相同方式存取 ，而且您可以繼續使用現有的工作流程來管理該存取。

# IAM Identity Center 建立的 IAM 角色
<a name="identity-center-and-iam-roles"></a>

當您將使用者指派給 AWS 帳戶時，IAM Identity Center 會建立 IAM 角色，以授予使用者 資源的許可。

 當您指派許可集時，IAM Identity Center 會在每個帳戶中建立對應的 IAM Identity Center 控制 IAM 角色，並將許可集中指定的政策連接到這些角色。IAM Identity Center 會管理角色，並允許您定義的授權使用者使用 AWS 存取入口網站 或 擔任角色 AWS CLI。當您修改許可集時，IAM Identity Center 會確保相應地更新對應的 IAM 政策和角色。將 IAM Identity Center 執行個體複寫至其他區域不會影響現有的 IAM 角色，也不會建立新的 IAM 角色。

**注意**  
許可集不會用來授予應用程式許可。

如果您已在 中設定 IAM 角色 AWS 帳戶，建議您檢查您的帳戶是否接近 IAM 角色的配額。每個帳戶 IAM 角色的預設配額為 1000 個角色。如需詳細資訊，請參閱 [IAM 物件配額](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)。

如果您接近配額，請考慮請求增加配額。否則，當您將許可集佈建至超過 IAM 角色配額的帳戶時，可能會遇到 IAM Identity Center 的問題。如需如何請求提高配額的詳細資訊，請參閱《*Service Quotas 使用者指南*》中的[請求提高配額](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)。

**注意**  
如果您在已使用 IAM Identity Center 的帳戶中檢閱 IAM 角色，您可能會注意到以 開頭的角色名稱“AWSReservedSSO\$1”。這些是 IAM Identity Center 服務在帳戶中建立的角色，它們來自將許可集指派給帳戶。

# IAM Identity Center 和 AWS Organizations
<a name="identity-center-and-orgs"></a>

AWS Organizations 建議與 IAM Identity Center 搭配使用，但非必要。如果您尚未設定組織，則不需要。當您啟用 IAM Identity Center 時，您可以選擇是否要使用 啟用服務 AWS Organizations。當您設定組織時， AWS 帳戶 設定組織的 會成為組織的管理帳戶。的根使用者現在 AWS 帳戶 是組織管理帳戶的擁有者。 AWS 帳戶 您邀請加入組織的任何其他 都是成員帳戶。管理帳戶會建立管理成員帳戶的組織資源、組織單位和政策。管理帳戶會將許可委派給成員帳戶。

**注意**  
我們建議您使用 啟用 IAM Identity Center AWS Organizations，這會建立 IAM Identity Center 的組織執行個體。我們建議使用組織執行個體的最佳實務，因為它支援 IAM Identity Center 的所有功能，並提供集中管理功能。如需詳細資訊，請參閱[IAM Identity Center 的組織執行個體](organization-instances-identity-center.md)。

如果您已經設定 AWS Organizations 並將新增 IAM Identity Center 到您的組織，請確定所有 AWS Organizations 功能都已啟用。當您建立組織時，根據預設會啟用所有功能。如需詳細資訊，請參閱 *AWS Organizations 使用者指南*中的[啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。

若要啟用 IAM Identity Center 的組織執行個體，您必須 AWS 管理主控台 以具有管理登入資料的使用者或根使用者身分登入您的 AWS Organizations 管理帳戶 （除非沒有其他管理使用者，否則不建議使用） 來登入 。如需詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[建立和管理 AWS 組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)。

使用 AWS Organizations 成員帳戶的管理登入資料登入時，您可以啟用 IAM Identity Center 的帳戶執行個體。帳戶執行個體的功能有限，且繫結至單一 AWS 帳戶。