As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS IAM Identity Center e AWS Organizations
O AWS IAM Identity Center fornece acesso de logon único para todas as suas Contas da AWS e aplicativos de nuvem. Ele se conecta com o Microsoft Active Directory através do AWS Directory Service para permitir que os usuários nesse diretório façam login em um portal de acesso da AWS personalizado usando seus nomes de usuário e senha do Active Directory existentes. Do portal de acesso da AWS, os usuários têm acesso a todos os aplicativos em nuvem e da Contas da AWS para os quais têm permissões.
Para obter mais informações sobre o IAM Identity Center, consulte o Guia do usuário do AWS IAM Identity Center.
Use as informações a seguir para ajudá-lo a integrar o AWS IAM Identity Center ao AWS Organizations.
Funções vinculadas ao serviço, criadas quando você habilitou a integração
A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o IAM Identity Center realize as operações suportadas nas contas de sua organização.
Você pode excluir ou modificar essa função apenas se desabilitar o acesso confiável entre o IAM Identity Center e o Organizations, ou se remover a conta-membro da organização.
-
AWSServiceRoleForSSO
Entidades de serviço primárias usadas pelas funções vinculadas ao serviço
A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo IAM Identity Center concedem acesso às seguintes entidades de serviço primárias:
-
sso.amazonaws.com
Habilitar o acesso confiável no IAM Identity Center
Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.
Você pode habilitar o acesso confiável usando o console do AWS IAM Identity Center ou o console do AWS Organizations.
Importante
É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do AWS IAM Identity Center para habilitar a integração com o Organizations. Isso permite que o AWS IAM Identity Center execute qualquer configuração exigida, como a criação dos recursos necessários para o serviço. Continue com estas etapas apenas se você não puder habilitar a integração usando as ferramentas fornecidas pelo AWS IAM Identity Center. Para obter mais informações, consulte esta nota.
Se você habilitar o acesso confiável usando o console ou as ferramentas do AWS IAM Identity Center, não é necessário concluir estas etapas.
O IAM Identity Center requer acesso confiável com o AWS Organizations para funcionar. O acesso confiável é habilitado quando você configura o IAM Identity Center. Para obter mais informações, consulte Conceitos básicos - Etapa 1: habilitar o AWS IAM Identity Center no Guia do usuário do AWS IAM Identity Center.
Você pode habilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI ou chamando uma operação da API em um dos AWS SDKs.
Desabilitar o acesso confiável no IAM Identity Center
Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.
O IAM Identity Center requer acesso confiável com o AWS Organizations para operar. Se você desabilitar o acesso confiável com o AWS Organizations enquanto estiver usando o IAM Identity Center, ele deixará de funcionar porque não consegue acessar a organização. Os usuários não podem usar o IAM Identity Center para acessar contas. As funções criadas pelo IAM Identity Center se mantêm, mas o serviço do IAM Identity Center não pode acessá-las. As funções vinculadas ao serviço do IAM Identity Center permanecem. Se reabilitar o acesso confiável, o IAM Identity Center continuará a operar como antes, sem que seja necessário reconfigurar o serviço.
Se você remover uma conta de sua organização, o IAM Identity Center automaticamente limpará quaisquer metadados e recursos, como a função vinculada ao serviço dele. Uma conta independente removida de uma organização não funciona mais com o IAM Identity Center.
Você pode desabilitar o acesso confiável usando apenas as ferramentas do Organizations.
Você pode desabilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.
Como habilitar uma conta de administrador delegado para o IAM Identity Center
Quando você designa uma conta de membro como um administrador delegado para a organização, os usuários e as funções dessa conta podem executar ações administrativas para o IAM Identity Center que, de outra forma, só poderiam ser acionadas por usuários ou funções na conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do IAM Identity Center.
Permissões mínimas
Somente um usuário ou perfil na conta de gerenciamento do Organizations pode configurar uma conta de membro como um administrador delegado para o IAM Identity Center na organização.
Para obter instruções sobre como habilitar uma conta de administrador delegado para o IAM Identity Center, consulte Delegated administration (Administração delegada) no Guia do usuário do AWS IAM Identity Center.
