AWS IAM Identity Center dan AWS Organizations

AWS IAM Identity Centermenyediakan akses masuk tunggal untuk semua aplikasi Anda Akun AWS dan cloud. Ini terhubung dengan Microsoft Active Directory AWS Directory Service untuk memungkinkan pengguna di direktori itu masuk ke portal AWS akses yang dipersonalisasi menggunakan nama pengguna dan kata sandi Active Directory yang ada. Dari portal AWS akses, pengguna memiliki akses ke semua Akun AWS dan aplikasi cloud yang mereka miliki izinnya.

Untuk informasi selengkapnya tentang Pusat Identitas IAM, lihat Panduan AWS IAM Identity Center Pengguna.

Gunakan informasi berikut untuk membantu Anda mengintegrasikan AWS IAM Identity Center dengan AWS Organizations.

Peran tertaut layanan yang dibuat saat Anda mengaktifkan integrasi

Peran tertaut layanan berikut secara otomatis dibuat di akun pengelolaan organisasi Anda bila Anda mengaktifkan akses terpercaya. Peran ini memungkinkan Pusat Identitas IAM untuk melakukan operasi yang didukung dalam akun organisasi Anda di organisasi Anda.

Anda dapat menghapus atau mengubah peran ini hanya jika Anda menonaktifkan akses tepercaya antara IAM Identity Center dan Organizations, atau jika Anda menghapus akun anggota dari organisasi.

• AWSServiceRoleForSSO

Prinsipal layanan yang digunakan oleh peran tertaut layanan

Peran tertaut layanan di bagian sebelumnya dapat diambil hanya oleh prinsipal layanan yang diotorisasi oleh hubungan kepercayaan yang ditetapkan untuk peran tersebut. Peran terkait layanan yang digunakan oleh IAM Identity Center memberikan akses ke prinsip layanan berikut:

• sso.amazonaws.com

Mengaktifkan akses tepercaya dengan IAM Identity Center

Untuk informasi tentang izin yang diperlukan untuk mengaktifkan akses terpercaya, lihat Izin yang diperlukan untuk mengaktifkan akses terpercaya.

Anda dapat mengaktifkan akses terpercaya menggunakan konsol AWS IAM Identity Center atau konsol AWS Organizations.

penting

Kami sangat merekomendasikan bahwa bila memungkinkan, Anda menggunakan konsol AWS IAM Identity Center atau alat untuk memungkinkan integrasi dengan Organizations. Hal ini memungkinkan AWS IAM Identity Center melakukan konfigurasi yang diperlukan, seperti membuat sumber daya yang dibutuhkan oleh layanan. Lanjutkan dengan langkah-langkah ini hanya jika Anda tidak dapat mengaktifkan integrasi menggunakan alat yang disediakan olehAWS IAM Identity Center. Untuk informasi lebih lanjut, lihat catatan ini.

Jika Anda mengaktifkan akses terpercaya dengan menggunakan konsol AWS IAM Identity Center atau alat, Anda tidak perlu menyelesaikan langkah-langkah ini.

Pusat Identitas IAM membutuhkan akses tepercaya AWS Organizations untuk berfungsi. Akses tepercaya diaktifkan saat Anda menyiapkan Pusat Identitas IAM. Untuk informasi selengkapnya, lihat Memulai - Langkah 1: Mengaktifkan AWS IAM Identity Center di Panduan Pengguna AWS IAM Identity Center.

Anda dapat mengaktifkan akses terpercaya dengan menggunakan konsol AWS Organizations, dengan menjalankan perintah AWS CLI, atau dengan memanggil operasi API di salah satu SDK AWS.

AWS Management Console

Untuk mengaktifkan akses layanan terpercaya menggunakan konsol Organizations

1. Masuklah ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pada halaman Layanan, temukan baris untuk AWS IAM Identity Center, pilih nama layanan, dan kemudian Mengaktifkan akses terpercaya.

3. Di kotak dialog konfirmasi, aktifkan Menampilkan opsi untuk mengaktifkan akses terpercaya, masukkan enable dalam kotak, dan kemudian pilih Mengaktifkan akses terpercaya.

4. Jika Anda adalah administrator hanya AWS Organizations, beritahu administrator AWS IAM Identity Center bahwa mereka sekarang dapat mengaktifkan layanan tersebut menggunakan konsolnya untuk bekerja dengan AWS Organizations.

AWS CLI, AWS API

Untuk mengaktifkan akses layanan terpercaya menggunakan CLI/SDK Organizations

Anda dapat menggunakan perintah AWS CLI atau operasi API untuk mengaktifkan atau mengaktifkan akses layanan terpercaya:

• AWS CLI: enable-aws-service-access

  Anda dapat menjalankan perintah berikut untuk mengaktifkan AWS IAM Identity Center sebagai layanan terpercaya dengan Organizations.

  $ aws organizations enable-aws-service-access \ 
      --service-principal sso.amazonaws.com

  Perintah ini tidak menghasilkan output saat berhasil.

• AWSAPI: Aktifkan AWSServiceAccess

Menonaktifkan akses tepercaya dengan IAM Identity Center

Untuk informasi tentang izin yang diperlukan untuk menonaktifkan akses terpercaya, lihat Izin yang diperlukan untuk menonaktifkan akses terpercaya.

IAM Identity Center membutuhkan akses tepercaya AWS Organizations untuk beroperasi. Jika Anda menonaktifkan akses tepercaya menggunakan AWS Organizations saat Anda menggunakan IAM Identity Center, itu berhenti berfungsi karena tidak dapat mengakses organisasi. Pengguna tidak dapat menggunakan Pusat Identitas IAM untuk mengakses akun. Peran apa pun yang dibuat oleh IAM Identity Center tetap ada, tetapi layanan IAM Identity Center tidak dapat mengaksesnya. Peran terkait layanan IAM Identity Center tetap ada. Jika Anda mengaktifkan kembali akses tepercaya, IAM Identity Center terus beroperasi seperti sebelumnya, tanpa perlu Anda mengkonfigurasi ulang layanan.

Jika Anda menghapus akun dari organisasi, Pusat Identitas IAM secara otomatis membersihkan metadata dan sumber daya apa pun, seperti peran terkait layanannya. Akun mandiri yang dihapus dari organisasi tidak lagi berfungsi dengan IAM Identity Center.

Anda dapat menonaktifkan akses terpercaya hanya menggunakan alat Organizations.

Anda dapat menonaktifkan akses terpercaya dengan menggunakan konsol AWS Organizations, dengan menjalankan perintah AWS CLI, atau dengan memanggil operasi API Organizations di salah satu SDK AWS.

AWS Management Console

Untuk menonaktifkan akses layanan terpercaya menggunakan konsol Organizations

1. Masuklah ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pada halaman Layanan, temukan baris untuk AWS IAM Identity Center dan kemudian pilih nama layanan.

3. Pilih Menonaktifkan akses terpercaya.

4. Di kotak dialog konfirmasi, masukkan disable dalam kotak, dan kemudian pilih Menonaktifkan akses terpercaya.

5. Jika Anda adalah administrator hanya AWS Organizations, beritahu administrator AWS IAM Identity Center bahwa mereka sekarang dapat menonaktifkan layanan tersebut menggunakan konsolnya untuk bekerja dengan AWS Organizations.

AWS CLI, AWS API

Cara menonaktifkan akses layanan terpercaya menggunakan CLI/SDK Organizations

Anda dapat menggunakan perintah AWS CLI atau operasi API untuk menonaktifkan akses layanan terpercaya:

• AWS CLI: disable-aws-service-access

  Anda dapat menjalankan perintah berikut untuk menonaktifkan AWS IAM Identity Center sebagai layanan terpercaya dengan Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal sso.amazonaws.com

  Perintah ini tidak menghasilkan output saat berhasil.

• AWSAPI: Nonaktifkan AWSServiceAccess

Mengaktifkan akun administrator yang didelegasikan untuk IAM Identity Center

Saat Anda menetapkan akun anggota sebagai administrator yang didelegasikan untuk organisasi, pengguna dan peran dari akun tersebut dapat melakukan tindakan administratif untuk Pusat Identitas IAM yang hanya dapat dilakukan oleh pengguna atau peran dalam akun manajemen organisasi. Ini membantu Anda memisahkan manajemen organisasi dari manajemen Pusat Identitas IAM.

Izin minimum

Hanya pengguna atau peran dalam akun manajemen Organizations yang dapat mengonfigurasi akun anggota sebagai administrator yang didelegasikan untuk Pusat Identitas IAM di organisasi.

Untuk petunjuk tentang cara mengaktifkan akun administrator yang didelegasikan untuk Pusat Identitas IAM, lihat Administrasi yang didelegasikan di Panduan Pengguna. AWS IAM Identity Center