Bekerja dengan AWS IAM Identity Center dan AWS Control Tower

Di AWS Control Tower, IAM Identity Center memungkinkan administrator cloud pusat dan pengguna akhir untuk mengelola akses ke beberapa AWS akun dan aplikasi bisnis. Secara default, AWS Control Tower menggunakan layanan ini untuk mengatur dan mengelola akses ke akun yang dibuat melalui Account Factory, kecuali Anda telah memilih opsi untuk mengelola sendiri identitas dan kontrol akses Anda.

Untuk informasi selengkapnya tentang memilih provder identitas, lihatPanduan Pusat Identitas IAM.

Untuk tutorial singkat tentang cara mengatur pengguna IAM Identity Center dan izin di AWS Control Tower, Anda dapat melihat video ini (6:23). Untuk tampilan yang lebih baik, pilih ikon di sudut kanan bawah video untuk memperbesarnya ke layar penuh. Captioning tersedia.

Tentang menyiapkan AWS Control Tower dengan IAM Identity Center

Saat Anda pertama kali menyiapkan AWS Control Tower, hanya pengguna pengguna root dan pengguna IAM dengan izin yang benar yang dapat menambahkan pengguna IAM Identity Center. Namun, setelah pengguna akhir ditambahkan dalam AWSAccountFactorygrup, mereka dapat membuat pengguna Pusat Identitas IAM baru dari wizard Account Factory. Untuk informasi selengkapnya, lihat Menyediakan dan mengelola akun dengan Account Factory.

Jika Anda memilih default yang disarankan, AWS Control Tower menyiapkan landing zone Anda dengan direktori yang telah dikonfigurasi sebelumnya yang membantu Anda mengelola identitas pengguna dan sistem masuk tunggal, sehingga pengguna Anda memiliki akses gabungan di seluruh akun. Saat menyiapkan landing zone, direktori default ini dibuat untuk berisi grup pengguna dan set izin.

catatan

Anda dapat mendelegasikan administrasi AWS IAM Identity Center di organisasi Anda ke akun selain akun manajemen, dengan menggunakan fitur administrator yang didelegasikan dari Pusat Identitas IAM. Jika Anda memilih untuk menggunakan fitur ini, ketahuilah bahwa Administrator dengan akses untuk mengelola keanggotaan grup juga dapat mengelola grup yang ditetapkan ke akun manajemen. Untuk informasi lebih lanjut, lihat posting blog ini, berjudul, Memulai dengan administrasi delegasi AWS SSO

Hal yang perlu diketahui tentang akun IAM Identity Center dan AWS Control Tower

Berikut adalah beberapa hal baik yang perlu diketahui saat bekerja dengan akun pengguna IAM Identity Center di AWS Control Tower.

• Jika akun pengguna AWS IAM Identity Center dinonaktifkan, Anda akan mendapatkan pesan galat saat mencoba menyediakan akun baru di Account Factory. Anda dapat mengaktifkan kembali pengguna Pusat Identitas IAM Anda di konsol Pusat Identitas IAM.

• Jika Anda menentukan alamat email pengguna IAM Identity Center baru saat memperbarui produk yang disediakan yang terkait dengan akun yang dijual oleh Account Factory, AWS Control Tower akan membuat akun pengguna IAM Identity Center baru. Akun pengguna yang dibuat sebelumnya tidak dihapus. Jika Anda memilih untuk menghapus alamat email pengguna IAM Identity Center sebelumnya dari AWS IAM Identity Center, lihat Menonaktifkan Pengguna.

• AWS IAM Identity Center telah terintegrasi dengan Azure Active Directory, dan Anda dapat menghubungkan Azure Active Directory yang ada ke AWS Control Tower.

• Untuk informasi selengkapnya tentang bagaimana perilaku AWS Control Tower berinteraksi dengan AWS IAM Identity Center dan berbagai sumber identitas, lihat Pertimbangan untuk Mengubah Sumber Identitas Anda dalam dokumentasi AWS IAM Identity Center.