As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Administradores delegados
A administração delegada fornece uma maneira conveniente para os usuários atribuídos em uma conta de membro registrada realizarem a maioria das tarefas administrativas do IAM Identity Center. Quando você ativa o IAM Identity Center, sua instância do IAM Identity Center é criada na conta de gerenciamento em AWS Organizations por padrão. Ele foi originalmente projetado dessa forma para que o IAM Identity Center possa provisionar, desprovisionar e atualizar funções em todas as contas dos membros da sua organização. Mesmo que sua instância do IAM Identity Center deva sempre residir na conta de gerenciamento, você pode optar por delegar a administração do IAM Identity Center a uma conta membro no AWS Organizations, ampliando assim a capacidade de gerenciar o IAM Identity Center de fora da conta de gerenciamento.
Habilitar a administração delegada oferece os seguintes benefícios:
-
Minimiza o número de pessoas que precisam de acesso à conta de gerenciamento para ajudar a mitigar as preocupações de segurança
-
Permite que administradores selecionados atribuam usuários e grupos aos aplicativos e às contas dos membros da sua organização
Para obter mais informações sobre como o IAM Identity Center funciona com AWS Organizations, consulte Conta da AWS access. Para obter informações adicionais e analisar um exemplo de cenário da empresa que mostra como configurar a administração delegada, consulte Introdução à administração delegada do IAM Identity Center no
Tópicos
Práticas recomendadas
Veja a seguir algumas práticas recomendadas a serem consideradas antes de configurar a administração delegada.
-
Conceda o privilégio mínimo à conta de gerenciamento — Sabendo que a conta de gerenciamento é uma conta altamente privilegiada e para aderir ao princípio do privilégio mínimo, recomendamos que você restrinja o acesso à conta de gerenciamento ao menor número possível de pessoas. O atributo de administrador delegado tem como objetivo minimizar o número de pessoas que precisam de acesso à conta de gerenciamento.
-
Crie conjuntos de permissões para uso somente na conta de gerenciamento — Isso facilita a administração de conjuntos de permissões personalizados apenas para usuários que acessam sua conta de gerenciamento e ajuda a diferenciá-los dos conjuntos de permissões gerenciados por sua conta de administrador delegado.
-
Considere sua localização no Active Directory — Se você planeja usar o Active Directory como sua fonte de IAM identidade do Identity Center, localize o diretório na conta do membro em que você habilitou o recurso de administrador delegado do IAM Identity Center. Se você decidir alterar a fonte de IAM identidade do Identity Center de qualquer outra fonte para o Active Directory ou alterá-la do Active Directory para qualquer outra fonte, o diretório deverá residir (pertencer à) conta do membro administrador delegado do IAM Identity Center, se houver; caso contrário, deverá estar na conta de gerenciamento.
-
Crie atribuições de usuário somente na conta de gerenciamento — O administrador delegado não pode alterar os conjuntos de permissões provisionados na conta de gerenciamento. No entanto, administradores delegados podem adicionar, editar e excluir grupos e exercícios em grupo.
Pré-requisitos
Antes de registrar uma conta-administrador delegado, você deve primeiro implantar o seguinte ambiente:
-
AWS Organizations deve estar habilitado e configurado com pelo menos uma conta de membro, além da sua conta de gerenciamento padrão.
-
Se sua fonte de identidade estiver definida como Active Directory, o atributo IAMSincronização AD configurável do Identity Center deverá estar habilitado.
