Active Directory 或外部 IdP AWS Organizations IAM 角色下一代防火墙和安全 Web 网关

IAM Identity Center 考虑事项

以下主题提供有关针对特定环境设置 IAM Identity Center 的指导。在继续第 2 部分：创建 IAM Identity Center 中的管理用户之前，请先了解适用于您环境的指导。

主题

Active Directory 或外部 IdP
AWS Organizations
IAM 角色
下一代防火墙和安全 Web 网关

Active Directory 或外部 IdP

如果您已经在管理 Active Directory 或外部 IdP 中的用户和群组，我们建议您在启用 IAM Identity Center 并选择您的身份源时考虑连接此身份源。在默认 Identity Center 目录中创建任何用户和组之前执行此操作将有助于避免在以后更改身份源时所需的额外配置。

如果要使用 Active Directory 作为身份源，则您的配置必须满足以下先决条件：

如果您正在使用 AWS Managed Microsoft AD，则必须在设置 AWS Managed Microsoft AD 目录的同一 AWS 区域位置启用 IAM 身份中心。IAM Identity Center 会将分配数据存储在与目录相同的区域中。要管理 IAM Identity Center，您可能需要切换到配置 IAM Identity Center 的区域。另外，请注意， AWS 访问门户使用的访问网址与您的目录相同。
使用驻留在您管理账户中的 Active Directory：

您必须在中设置现有 AD Con AWS Managed Microsoft AD nector 或目录 AWS Directory Service，并且该目录必须位于您的 AWS Organizations 管理账户中。一次只能连接一个 AD Connector 或一个 AD AWS Managed Microsoft AD Connector。如果您需要支持多个域或林，请使用 AWS Managed Microsoft AD。有关更多信息，请参阅：
- 在《AWS IAM Identity Center 用户指南》中将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心。
- AWS IAM Identity Center 用户指南中的将 Active Directory 中的自托管式目录连接到 IAM Identity Center。
使用驻留在委托管理员账户中的 Active Directory：

如果您计划启用 IAM Identity Center 委托管理员并使用 Active Directory 作为您的 IAM 身份源，则可以使用现有 AD Connector 或 AWS Managed Microsoft AD 在委托管理员账户中的 AWS 目录中设置的目录。

如果您决定将 IAM Identity Center 源从任何其他源更改为 Active Directory，或者将其从 Active Directory 更改为任何其他源，则该目录必须驻留在 IAM Identity Center 委托管理员成员账户（如果存在）中（归该账户所有）；否则，它必须位于管理账户中。

AWS Organizations

您 AWS 账户必须由以下人员管理 AWS Organizations。如果您还没有设置组织，则不必执行此操作。启用 IAM Identity Center 后，您将选择是否为您 AWS 创建组织。

如果您已经进行了设置 AWS Organizations，请确保所有功能都已启用。有关更多信息，请参阅《AWS Organizations 用户指南》中的启用企业中的所有功能。

要启用 IAM Identity Cent AWS Management Console er，您必须使用 AWS Organizations 管理账户的证书登录。使用 AWS Organizations 成员账户的证书登录时，您无法启用 IAM 身份中心。有关更多信息，请参阅《AWS Organizations 用户指南》中的创建和管理 AWS 组织。

IAM 角色

如果您已经在中配置了 IAM 角色 AWS 账户，我们建议您检查您的账户是否已接近 IAM 角色的配额。有关更多信息，请参阅 IAM 对象限额。

如果您已接近此限额，可以考虑申请增加限额。否则，当您为已超过 IAM 角色限额的帐户预置权限集时，IAM Identity Center 可能会遇到问题。有关如何请求提高限额的信息，请参阅 Service Quotas 用户指南中的请求增加限额。

下一代防火墙和安全 Web 网关

如果您使用诸如或之类的 Web 内容过滤解决方案来筛选对特定 AWS 域 NGFWs 或 URL 端点的访问权限 SWGs，则必须将以下域或 URL 端点添加到您的网络内容过滤解决方案允许列表中。

特定的 DNS 域

*.awsapps.com (http://awsapps.com/)
*.signin.aws

特定的 URL 端点

https://[yourdirectory].awsapps.com/start
https://[yourdirectory].awsapps.com/login
https://[yourregion].signin。 aws/platform/login

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

AWS 账户要求

使用多个 AWS 账户