Trabalhando com o AWS IAM Identity Center e o AWS Control Tower

No AWS Control Tower, o IAM Identity Center permite que administradores centrais de nuvem e usuários finais gerenciem o acesso a várias AWS contas e aplicativos comerciais. Por padrão, o AWS Control Tower usa esse serviço para configurar e gerenciar o acesso às contas criadas por meio do Account Factory, a menos que você tenha selecionado a opção de autogerenciar sua identidade e controle de acesso.

Para obter mais informações sobre como selecionar um provedor de identidade, consulteIAMOrientação do Identity Center.

Para ver um breve tutorial sobre como configurar seus usuários e permissões do IAM Identity Center no AWS Control Tower, você pode assistir a este vídeo (6:23). Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.

Sobre a configuração do AWS Control Tower com o IAM Identity Center

Quando você configura inicialmente o AWS Control Tower, somente o usuário raiz e qualquer usuário do IAM com as permissões corretas podem adicionar usuários do IAM Identity Center. No entanto, depois que os usuários finais forem adicionados ao AWSAccountFactorygrupo, eles poderão criar novos usuários do IAM Identity Center usando o assistente Account Factory. Para ter mais informações, consulte Provisione e gerencie contas com o Account Factory.

Se você escolher o padrão recomendado, o AWS Control Tower configura sua landing zone com um diretório pré-configurado que ajuda você a gerenciar identidades de usuário e login único, para que seus usuários tenham acesso federado em todas as contas. Quando você configura sua landing zone, esse diretório padrão é criado para conter grupos de usuários e conjuntos de permissões.

nota

Você pode delegar a administração da AWS IAM Identity Center sua organização a uma conta diferente da conta de gerenciamento, usando o recurso de administrador delegado do IAM Identity Center. Se você optar por usar esse recurso, saiba que os administradores com acesso para gerenciar a associação ao grupo também podem gerenciar grupos atribuídos à conta de gerenciamento. Para obter mais informações, consulte esta postagem no blog, intitulada Introdução à administração delegada do AWS SSO

Coisas que você deve saber sobre as contas do IAM Identity Center e o AWS Control Tower

Aqui estão algumas coisas boas que você deve saber ao trabalhar com contas de usuário do IAM Identity Center no AWS Control Tower.

• Se sua conta de usuário do AWS IAM Identity Center estiver desativada, você receberá uma mensagem de erro ao tentar provisionar novas contas no Account Factory. Você pode reativar seu usuário do IAM Identity Center no console do IAM Identity Center.

• Se você especificar um novo endereço de e-mail de usuário do IAM Identity Center ao atualizar o produto provisionado associado a uma conta vendida pela Account Factory, o AWS Control Tower cria uma nova conta de usuário do IAM Identity Center. A conta de usuário criada anteriormente não será removida. Se você preferir remover o endereço de e-mail anterior do usuário do IAM Identity Center do AWS IAM Identity Center, consulte Desabilitar um usuário.

• AWS O IAM Identity Center foi integrado ao Azure Active Directory, e você pode conectar seu Azure Active Directory existente ao AWS Control Tower.

• Para obter mais informações sobre como o comportamento do AWS Control Tower interage com o AWS IAM Identity Center e diferentes fontes de identidade, consulte Considerations for Changing Your Identity Source na documentação do AWS IAM Identity Center.