Utilizzo di AWS IAM Identity Center e AWS Control Tower

In AWS Control Tower, IAM Identity Center consente agli amministratori centrali del cloud e agli utenti finali di gestire l'accesso a più AWS account e applicazioni aziendali. Per impostazione predefinita, AWS Control Tower utilizza questo servizio per configurare e gestire l'accesso agli account creati tramite Account Factory, a meno che tu non abbia selezionato l'opzione per la gestione automatica dell'identità e del controllo degli accessi.

Per ulteriori informazioni sulla selezione di un provider di identità, consulta. Linee guida per IAM Identity Center

Per un breve tutorial su come configurare gli utenti e le autorizzazioni del tuo IAM Identity Center in AWS Control Tower, puoi guardare questo video (6:23). Per una migliore visualizzazione, seleziona l'icona nell'angolo in basso a destra del video per ingrandirlo a schermo intero. È disponibile la didascalia.

Informazioni sulla configurazione di AWS Control Tower con IAM Identity Center

Quando configuri inizialmente AWS Control Tower, solo l'utente root e tutti gli utenti IAM con le autorizzazioni corrette possono aggiungere utenti IAM Identity Center. Tuttavia, dopo che gli utenti finali sono stati aggiunti al AWSAccountFactorygruppo, possono creare nuovi utenti IAM Identity Center dalla procedura guidata Account Factory. Per ulteriori informazioni, consulta Fornitura e gestione degli account con Account Factory.

Se scegli l'impostazione predefinita consigliata, AWS Control Tower configura la tua landing zone con una directory preconfigurata che ti aiuta a gestire le identità degli utenti e il single sign-on, in modo che gli utenti abbiano accesso federato tra gli account. Quando configuri la landing zone, questa directory predefinita viene creata per contenere gruppi di utenti e set di autorizzazioni.

Nota

Puoi delegare l'amministrazione della AWS IAM Identity Center tua organizzazione a un account diverso dall'account di gestione, utilizzando la funzionalità di amministratore delegato di IAM Identity Center. Se scegli di utilizzare questa funzionalità, tieni presente che gli amministratori con accesso alla gestione dell'appartenenza ai gruppi possono gestire anche i gruppi assegnati all'account di gestione. Per ulteriori informazioni, consulta questo post del blog, intitolato Guida introduttiva all'amministrazione delegata AWS SSO

Cose da sapere sugli account IAM Identity Center e AWS Control Tower

Ecco alcune cose utili da sapere quando si lavora con gli account utente IAM Identity Center in AWS Control Tower.

• Se il tuo account utente AWS IAM Identity Center è disabilitato, riceverai un messaggio di errore quando provi a fornire nuovi account in Account Factory. Puoi riabilitare il tuo utente IAM Identity Center nella console IAM Identity Center.

• Se si specifica un nuovo indirizzo e-mail utente IAM Identity Center quando si aggiorna il prodotto fornito associato a un account fornito da Account Factory, AWS Control Tower crea un nuovo account utente IAM Identity Center. L'account utente creato in precedenza non viene rimosso. Se preferisci rimuovere l'indirizzo e-mail utente precedente di IAM Identity Center da AWS IAM Identity Center, consulta Disabilitazione di un utente.

• AWS IAM Identity Center è stato integrato con Azure Active Directory e puoi connettere il tuo Azure Active Directory esistente a AWS Control Tower.

• Per ulteriori informazioni su come il comportamento di AWS Control Tower interagisce con AWS IAM Identity Center e diverse fonti di identità, consulta Considerations for Changing Your Identity Source nella documentazione di AWS IAM Identity Center.