Cuándo usar una instancia de cuenta Aplicaciones AWS gestionadas compatibles Restricciones de disponibilidad de las cuentas de los miembros Consideraciones sobre las instancias de cuenta

Instancias de cuenta de IAM Identity Center

Con una instancia de cuenta de IAM Identity Center, puede implementar aplicaciones AWS gestionadas compatibles y aplicaciones gestionadas por el cliente basadas en OIDC. Las instancias de cuentas permiten el despliegue aislado de aplicaciones en una sola aplicación Cuenta de AWS, aprovechando las funciones del portal de acceso e identidad de los empleados de IAM Identity Center.

Las instancias de cuenta están vinculadas a una sola cuenta Cuenta de AWS y se utilizan únicamente para gestionar el acceso de usuarios y grupos a las aplicaciones compatibles de la misma cuenta y. Región de AWS Está limitado a una instancia de cuenta por Cuenta de AWS. Puedes crear una instancia de cuenta a partir de una de las siguientes opciones: una cuenta de miembro AWS Organizations o una cuenta independiente Cuenta de AWS que no esté gestionada por AWS Organizations.

Para obtener instrucciones sobre cómo habilitar una instancia de cuenta del Centro de Identidad de IAM, consulte Para habilitar una instancia del Centro de identidades de IAM y seleccione la pestaña Cuenta.

Cuándo usar una instancia de cuenta

En la mayoría de los casos, se recomienda usar una instancia de organización. Utilice las instancias de cuenta solo si se aplica uno de los siguientes escenarios:

Desea ejecutar una prueba temporal de una aplicación AWS gestionada compatible para determinar si la aplicación se adapta a las necesidades de su empresa.
No tiene previsto adoptar el IAM Identity Center en toda su organización, pero quiere dar soporte a una o más aplicaciones AWS gestionadas.
Tiene una instancia de organización de IAM Identity Center, pero desea implementar una aplicación administrada por AWS compatible en un conjunto aislado de usuarios que son distintos de los usuarios de la instancia de organización.
No controla la AWS organización en la que opera. Por ejemplo, un tercero controla la AWS organización que administra su Cuentas de AWS.

importante

Si piensa utilizar el Centro de identidades de IAM para admitir aplicaciones en varias cuentas, utilice una instancia de organización. Las instancias de cuentas no admiten este caso de uso.

AWS aplicaciones administradas que admiten instancias de cuentas

Consulte AWS aplicaciones gestionadas que puede utilizar con el IAM Identity Center para saber qué aplicaciones AWS gestionadas son compatibles con las instancias de cuentas de IAM Identity Center. Compruebe la disponibilidad de la creación de instancias de cuentas con su aplicación AWS gestionada.

Restricciones de disponibilidad de las cuentas de los miembros

Para implementar instancias de cuentas del IAM Identity Center en las cuentas de AWS Organizations los miembros, debe cumplirse una de las siguientes condiciones:

No hay ninguna instancia de organización del IAM Identity Center en su organización de .
Hay una instancia de organización del Centro de Identidad de IAM en su organización y el administrador de la instancia permite la creación de instancias de cuentas del Centro de Identidad de IAM (para las instancias de la organización creadas después del 15 de noviembre de 2023).
Hay una instancia de organización del IAM Identity Center en su organización de y el administrador de la instancia ha habilitado manualmente la creación de instancias de cuentas por parte de las cuentas de los miembros de la organización (en el caso de las instancias de la organización creadas antes del 15 de noviembre de 2023). Para obtener instrucciones, consulte Permita la creación de instancias de cuenta en las cuentas de los miembros.

Cuando se cumpla una de las condiciones anteriores, todas las siguientes condiciones deben ser verdaderas:

El administrador no ha creado ninguna política de control de servicio que impida a las cuentas de los miembros crear instancias de cuenta.
A pesar de ello, todavía no tiene una instancia del Centro de Identidad de IAM en esta misma cuenta. Región de AWS
Está trabajando en un Región de AWS lugar en el que el Centro de Identidad de IAM está disponible. Para obtener información acerca de las regiones, consulte Operaciones y almacenamiento de datos regionales del IAM Identity Center.

Consideraciones sobre las instancias de cuenta

Una instancia de cuenta está diseñada para casos de uso especializados y ofrece un subconjunto de funciones disponibles para una instancia de organización. Tenga en cuenta lo siguiente antes de crear una instancia de cuenta:

Las instancias de cuenta no admiten conjuntos de permisos y, por lo tanto, no admiten el acceso a Cuentas de AWS ellos.
No puedes convertir ni fusionar una instancia de cuenta en una instancia de organización.
Solo determinadas aplicaciones administradas por AWS admiten las instancias de cuenta.
Utilice instancias de cuenta para usuarios aislados que utilizarán las aplicaciones en una sola cuenta y durante la vida útil de las aplicaciones utilizadas.
Las aplicaciones que están asociadas a una instancia de cuenta deben permanecer asociadas a la instancia de cuenta hasta que elimine la aplicación y sus recursos.
Una instancia de cuenta debe permanecer en el Cuenta de AWS lugar donde se creó.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Instancias de organización de IAM Identity Center

Permitir la creación de instancias de cuentas en las cuentas de los miembros