Prerequisiti e considerazioni - AWS IAM Identity Center
Considerazioni per la scelta di un Regione AWSQuota per i ruoli IAM creati da IAM Identity CenterIAM Identity Center e AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti e considerazioni

I seguenti argomenti forniscono informazioni sui prerequisiti e altre considerazioni per la configurazione di IAM Identity Center.

Considerazioni per la scelta di un Regione AWS

Puoi abilitare un'istanza IAM Identity Center in un'unica istanza, Regione AWS supportata a tua scelta. La scelta di una regione richiede una valutazione delle priorità in base ai casi d'uso e alle politiche aziendali. L'accesso Account AWS e l'accesso alle applicazioni cloud dal tuo IAM Identity Center non dipendono da questa scelta; tuttavia, l'accesso alle applicazioni AWS gestite e la possibilità di AWS Managed Microsoft AD utilizzarle come fonte di identità possono dipendere da questa scelta. Per un elenco delle regioni supportate da AWS IAM Identity Center, consulta Riferimenti generali di AWS gli endpoint e le quote di IAM Identity Center nella pagina.

Considerazioni chiave per la scelta di un. Regione AWS

  • Posizione geografica: quando selezioni una regione geograficamente più vicina alla maggior parte dei tuoi utenti finali, questi avranno una latenza di accesso inferiore al portale di accesso e AWS alle applicazioni AWS gestite, come Amazon. SageMaker Studio

  • Disponibilità di applicazioni AWS AWS gestite: le applicazioni gestite, come Amazon SageMaker, possono funzionare solo negli ambienti Regioni AWS che supportano. Abilita IAM Identity Center in una regione supportata dalle applicazioni AWS gestite che desideri utilizzare con esso. Molte applicazioni AWS gestite possono inoltre funzionare solo nella stessa regione in cui hai abilitato IAM Identity Center.

  • Sovranità digitale: le normative sulla sovranità digitale o le politiche aziendali possono imporre l'uso di un particolare. Regione AWSRivolgiti all'ufficio legale della tua azienda.

  • Origine dell'identità: se utilizzi AWS Managed Microsoft AD o AD Connector come origine dell'identità, la sua regione di origine deve corrispondere Regione AWS a quella in cui hai abilitato IAM Identity Center.

  • Regioni disattivate per impostazione predefinita: AWS inizialmente erano abilitate tutte nuove Regioni AWS per l'utilizzo in modalità Account AWS predefinita, il che consentiva automaticamente agli utenti di creare risorse in qualsiasi regione. Ora, quando si AWS aggiunge una nuova regione, il suo utilizzo è disabilitato per impostazione predefinita in tutti gli account. Se distribuisci IAM Identity Center in una regione disabilitata per impostazione predefinita, devi abilitare questa regione in tutti gli account per i quali desideri gestire l'accesso a IAM Identity Center. Questa operazione è necessaria anche se non prevedi di creare risorse in quella regione in quegli account.

    Puoi abilitare una regione per gli account correnti della tua organizzazione e devi ripetere questa azione per i nuovi account che potresti aggiungere in seguito. Per istruzioni, consulta Abilitare o disabilitare una regione nella tua organizzazione nella guida AWS Organizations per l'utente. Per evitare di ripetere questi passaggi aggiuntivi, puoi scegliere di implementare il tuo IAM Identity Center in una regione abilitata per impostazione predefinita. Per riferimento, le seguenti regioni sono abilitate per impostazione predefinita:

    • Stati Uniti orientali (Ohio)

    • Stati Uniti orientali (Virginia settentrionale)

    • US West (Oregon)

    • Stati Uniti occidentali (California settentrionale)

    • Europa (Parigi)

    • Sud America (San Paolo)

    • Asia Pacifico (Mumbai)

    • Europa (Stoccolma)

    • Asia Pacifico (Seul)

    • Asia Pacifico (Tokyo)

    • Europa (Irlanda)

    • Europa (Francoforte)

    • Europa (Londra)

    • Asia Pacifico (Singapore)

    • Asia Pacifico (Sydney)

    • Canada (Centrale)

    • Asia Pacifico (Osaka-Locale)

  • Chiamate tra regioni: in alcune regioni, IAM Identity Center può chiamare Amazon Simple Email Service in una regione diversa per inviare e-mail. In queste chiamate interregionali, IAM Identity Center invia determinati attributi utente all'altra regione. Per ulteriori informazioni sulle regioni, consulta AWS IAM Identity Center Disponibilità regionale.

Cambio Regioni AWS

Puoi cambiare la tua regione di IAM Identity Center solo eliminando l'istanza corrente e creando una nuova istanza in un'altra regione. Se hai già abilitato un'applicazione AWS gestita con l'istanza esistente, devi eliminarla prima di eliminare il tuo IAM Identity Center. È necessario ricreare utenti, gruppi, set di autorizzazioni, applicazioni e assegnazioni nella nuova istanza. Puoi utilizzare le API di assegnazione dell'account e delle applicazioni IAM Identity Center per ottenere un'istantanea della configurazione e quindi utilizzarla per ricostruire la configurazione in una nuova regione. Potrebbe inoltre essere necessario ricreare alcune configurazioni di IAM Identity Center tramite la console di gestione della nuova istanza. Per istruzioni sull'eliminazione di IAM Identity Center, consulta. Elimina la configurazione di IAM Identity Center

Quota per i ruoli IAM creati da IAM Identity Center

IAM Identity Center crea ruoli IAM per fornire agli utenti le autorizzazioni per l'accesso alle risorse. Quando si assegna un set di autorizzazioni, IAM Identity Center crea i ruoli IAM corrispondenti controllati da IAM Identity Center in ciascun account e associa le politiche specificate nel set di autorizzazioni a tali ruoli. IAM Identity Center gestisce il ruolo e consente agli utenti autorizzati che hai definito di assumere il ruolo, utilizzando il portale di accesso o. AWS AWS CLIMan mano che modifichi il set di autorizzazioni, IAM Identity Center garantisce che le politiche e i ruoli IAM corrispondenti vengano aggiornati di conseguenza.

Se hai già configurato i ruoli IAM nel tuo Account AWS, ti consigliamo di verificare se il tuo account si sta avvicinando alla quota per i ruoli IAM. La quota predefinita per i ruoli IAM per account è di 1000 ruoli. Per ulteriori informazioni, consulta le quote degli oggetti IAM.

Se ti stai avvicinando alla quota, prendi in considerazione la possibilità di richiedere un aumento della quota. Altrimenti, potresti riscontrare problemi con IAM Identity Center quando fornisci set di autorizzazioni agli account che hanno superato la quota di ruoli IAM. Per informazioni su come richiedere un aumento della quota, vedere Richiedere un aumento della quota nella Service Quotas User Guide.

Nota

Se stai esaminando i ruoli IAM in un account che utilizza già IAM Identity Center, potresti notare che i nomi dei ruoli iniziano con. “AWSReservedSSO_” Questi sono i ruoli che il servizio IAM Identity Center ha creato nell'account e derivano dall'assegnazione di un set di autorizzazioni all'account.

IAM Identity Center e AWS Organizations

AWS Organizations è consigliato, ma non obbligatorio, per l'uso con IAM Identity Center. Se non hai creato un'organizzazione, non è necessario. Quando abiliti IAM Identity Center, sceglierai se abilitare il servizio con AWS Organizations. Quando configuri un'organizzazione, l'account Account AWS che configura l'organizzazione diventa l'account di gestione dell'organizzazione. L'utente root di Account AWS è ora il proprietario dell'account di gestione dell'organizzazione. Tutti gli altri Account AWS che inviti a far parte della tua organizzazione sono account utente. L'account di gestione crea le risorse, le unità organizzative e le politiche dell'organizzazione che gestiscono gli account dei membri. Le autorizzazioni vengono delegate agli account dei membri dall'account di gestione.

Nota

Ti consigliamo di abilitare IAM Identity Center con AWS Organizations, che crea un'istanza organizzativa di IAM Identity Center. Un'istanza organizzativa è la nostra best practice consigliata perché supporta tutte le funzionalità di IAM Identity Center e fornisce funzionalità di gestione centralizzate. Per ulteriori informazioni, consulta Gestisci le istanze di organizzazione e account di IAM Identity Center.

Se hai già configurato AWS Organizations e intendi aggiungere IAM Identity Center alla tua organizzazione, assicurati che tutte le AWS Organizations funzionalità siano abilitate. Quando si crea un'organizzazione, l'abilitazione di tutte le caratteristiche è l'impostazione predefinita. Per ulteriori informazioni, consulta la sezione Abilitazione di tutte le caratteristiche nell'organizzazione nella Guida per l'utente diAWS Organizations .

Per abilitare IAM Identity Center, devi accedere al tuo account AWS Management Console di AWS Organizations gestione come utente con credenziali amministrative o come utente root (scelta sconsigliata a meno che non esistano altri utenti amministrativi). Non puoi abilitare IAM Identity Center dopo aver effettuato l'accesso con le credenziali amministrative di un account AWS Organizations membro. Per ulteriori informazioni, consulta Creazione e gestione di un' AWS organizzazione nella Guida per l'AWS Organizations utente.