Active Directory ou IdP externo AWS Organizations Perfis do IAM Firewalls de próxima geração e gateways web seguros

Considerações do Centro de Identidade do IAM

Os tópicos a seguir fornecem diretrizes para a configuração do Centro de Identidade do IAM para ambientes específicos. Entenda a orientação que se aplica ao seu ambiente antes de continuar para Parte 2: criar um usuário administrativo no Centro de Identidade do IAM.

Tópicos

Active Directory ou IdP externo
AWS Organizations
Perfis do IAM
Firewalls de próxima geração e gateways web seguros

Active Directory ou IdP externo

Se você já estiver gerenciando usuários e grupos no Active Directory ou em um IdP externo, recomendamos que considere conectar essa fonte de identidade ao habilitar o Centro de Identidade do IAM e escolher sua fonte de identidade. Fazer isso antes de criar qualquer usuário e grupo no diretório padrão do Centro de Identidade ajudará a evitar a configuração adicional necessária se você alterar sua fonte de identidade posteriormente.

Se você quiser usar o Active Directory como sua fonte de identidade, a configuração deve atender aos seguintes pré-requisitos:

Se você estiver usando AWS Managed Microsoft AD, você deve habilitar o IAM Identity Center no mesmo Região da AWS local em que seu AWS Managed Microsoft AD diretório está configurado. O IAM Identity Center armazena os dados de atribuição na mesma região do diretório. Para administrar o IAM Identity Center, talvez seja necessário mudar para a região em que o IAM Identity Center está configurado. Além disso, observe que o portal de AWS acesso usa a mesma URL de acesso do seu diretório.
Use um Active Directory residente em sua conta de gerenciamento:

Você deve ter um AD Connector ou AWS Managed Microsoft AD diretório existente configurado e ele deve residir em sua conta AWS Organizations de gerenciamento. AWS Directory Service Você pode conectar somente um AD Connector ou um por AWS Managed Microsoft AD vez. Se você precisar oferecer suporte a vários domínios ou florestas, use AWS Managed Microsoft AD. Para obter mais informações, consulte:
- Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center no Guia AWS IAM Identity Center do usuário.
- Conectar um diretório autogerenciado no Active Directory ao Centro de Identidade do IAM no Guia do usuário do AWS IAM Identity Center .
Use um Active Directory residente na conta de administrador delegado:

Se você planeja habilitar o administrador delegado do IAM Identity Center e usar o Active Directory como sua fonte de identidade do IAM, você pode usar um AD Connector ou AWS Managed Microsoft AD diretório existente configurado no AWS diretório que reside na conta de administrador delegado.

Se você decidir alterar a fonte do Centro de Identidade do IAM de qualquer outra fonte para o Active Directory ou alterá-la do Active Directory para qualquer outra fonte, o diretório deverá pertencer à (ou seja, residir na) conta de membro do administrador delegado do Centro de Identidade do IAM, se houver uma; caso contrário, deverá estar na conta de gerenciamento.

AWS Organizations

Você Conta da AWS deve ser gerenciado por AWS Organizations. Se você não configurou uma organização, não é necessário fazer isso. Ao ativar o IAM Identity Center, você escolherá se deseja AWS criar uma organização para você.

Se você já configurou AWS Organizations, verifique se todos os recursos estão ativados. Para obter mais informações, consulte Habilitar todos os recursos em sua organização no Manual do usuário do AWS Organizations .

Para habilitar o IAM Identity Center, você deve entrar no AWS Management Console usando as credenciais da sua conta de AWS Organizations gerenciamento. Você não pode ativar o IAM Identity Center enquanto estiver conectado com as credenciais de uma conta de AWS Organizations membro. Para obter mais informações, consulte Criação e gerenciamento de uma AWS organização no Guia AWS Organizations do usuário.

Perfis do IAM

Se você já configurou funções do IAM no seu Conta da AWS, recomendamos que verifique se sua conta está se aproximando da cota para funções do IAM. Para obter mais informações, consulte Cotas de objetos do IAM.

Se você estiver se aproximando da cota, considere solicitar um aumento de cota. Caso contrário, você poderá ter problemas com o IAM Identity Center ao provisionar conjuntos de permissões para contas que excederam a cota de perfis do IAM. Para obter informações sobre como solicitar o aumento da cota, consulte Solicitar um aumento de cota no Guia do usuário do Service Quotas.

Firewalls de próxima geração e gateways web seguros

Se você filtrar o acesso a AWS domínios ou endpoints de URL específicos usando uma solução de filtragem de conteúdo da web, como NGFWs ou SWGs, deverá adicionar os seguintes domínios ou endpoints de URL às suas listas de permissões da solução de filtragem de conteúdo da web.

Domínios DNS específicos

*.awsapps.com (http://awsapps.com/)
*.signin.aws

Endpoints de URL específicos

[yourdirectory]https://.awsapps.com/start
[yourdirectory]https://.awsapps.com/login
[yourregion]https://.signin. aws/platform/login

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conta da AWS requisitos

Usando vários Contas da AWS