IAM身份中心指南

注意

SSO是技术行业中用来表示单点登录的缩写。一般而言，SSO是一种会话和用户身份验证服务。它允许某人使用一组登录凭据访问多个应用程序。当提及中的单点登录功能时 AWS，我们指的是 AWS 服务已调用 AWS Identity and Access Management，并缩写为IAM或IAM身份中心。

AWSControl Tower 建议你使用 AWS Identity and Access Management (IAM) 规范对您的访问权限 AWS 账户。 但是，您可以选择 Cont AWS rol Tower 是否为您设置 Ident IAM ity Center，是否以最有效地满足您的业务需求的方式为自己设置 Ident IAM ity Center，或者是否选择其他帐户访问方法。

默认情况下，Cont AWS rol Tower 会进行设置 AWS IAM您的着陆区的 Identity Center，与组织您的着陆区中定义的最佳实践指南保持一致 AWS 使用多个账户的环境。大多数客户选择默认值。有时需要其他访问方法，以满足特定行业或国家的监管要求，或者在 AWS 区域 其中 AWS IAM身份中心不可用。

选择一个选项

在控制台中，您可以选择在着陆区设置过程中自行管理 Identity Center，而不必允许 Cont AWS rol Tower 为您设置IAM身份中心。以后，您可以随时选择更改此选择，方法是修改着陆区设置并在 “着陆区设置” 页面上更新您的着陆区。

要停止 AWS IAMCont AWS rol Tower 中的身份中心，或者开始使用 AWS IAM身份中心

1. 导航至 landing zone 设置页面

2. 选择 “配置” 选项卡

3. 然后选择相应的单选按钮，更改您的选择 AWS IAM身份中心。

在你选择自我管理之后 AWS IAM身份中心作为您的 IdP，Cont AWS rol Tower 仅创建管理AWS控制塔所需的角色和策略，例如AWSControlTowerAdmin和。AWSControlTowerAdminPolicy对于自行管理的着陆区，Contro AWS l Tower 不再为客户特定用途创建IAM角色和分组，不在着陆区设置过程中，也不会在使用 Account Factory 配置账户期间。

注意

如果你移除 AWS IAM身份中心不会从您的 Cont AWS rol Tower 着陆区域中移除 Cont AWS rol Tower 创建的用户、群组和权限集。我们建议您移除这些资源。

拥有替代身份提供者 (IdPs)（例如 Azure AD、Ping 或 Okta）的 Account Factory 客户可以关注 AWS IAM身份中心流程，用于连接外部身份提供商并加入其 IdP。通过修改着陆区设置，您可以随时恢复让 Contro AWS l Tower 生成分组和角色的状态。

• 有关 Cont AWS rol Tower 如何根据您的IAM身份来源与 Identity Center 配合使用的具体信息，请参阅注意事项 AWS IAM Identity Center 客户在本用户指南的 “入门” 页面的 “发布前检查” 部分。

• 有关 Cont AWS rol Tower 行为如何与 Ident IAM ity Center 和不同身份源交互的更多信息，请参阅《身份中心用户指南》中的 “更改IAM身份源的注意事项”。

• 有关使用 与 AWS IAM 身份中心和 AWS Control Tower 合作 Cont AWS rol Tower 和 Ident IAM ity Center 的更多信息，请参阅。