Active Directory 或外部 IdP AWS Organizations IAM 角色新一代防火牆和安全 Web 閘道

IAM Identity Center 考量事項

下列主題提供為特定環境設定 IAM Identity Center 的指引。請先了解適用於您環境的指引，再繼續第 2 部分：在 IAM Identity Center 中建立管理使用者。

主題

Active Directory 或外部 IdP
AWS Organizations
IAM 角色
新一代防火牆和安全 Web 閘道

Active Directory 或外部 IdP

如果您已在 Active Directory 或外部 IdP 中管理使用者和群組，建議您在啟用 IAM Identity Center 並選擇身分來源時，考慮連接此身分來源。在預設 Identity Center 目錄中建立任何使用者和群組之前執行此操作，將可協助您避免日後變更身分來源時所需的其他組態。

如果您想要使用 Active Directory 做為身分來源，您的組態必須符合下列先決條件：

如果您使用的是 AWS Managed Microsoft AD，則必須在設定 AWS Managed Microsoft AD 目錄 AWS 區域的相同中啟用 IAM Identity Center。IAM Identity Center 會將指派資料存放在與目錄相同的區域中。若要管理 IAM Identity Center，您可能需要切換到設定 IAM Identity Center 的區域。此外，請注意， AWS 存取入口網站使用與您的目錄相同的存取 URL。
使用您管理帳戶中的 Active Directory：

您必須在中設定現有的 AD Connector 或 AWS Managed Microsoft AD 目錄 AWS Directory Service，而且必須位於您的 AWS Organizations 管理帳戶中。您 AWS Managed Microsoft AD 一次只能連接一個 AD Connector 或一個。如果您需要支援多個網域或樹系，請使用 AWS Managed Microsoft AD。如需詳細資訊，請參閱：
- 將中的目錄 AWS Managed Microsoft AD 連接到使用者指南中的 IAM Identity Center。 AWS IAM Identity Center
- 將 Active Directory 中的自我管理目錄連接到使用者指南中的 IAM Identity Center。 AWS IAM Identity Center
使用位於委派管理員帳戶中的 Active Directory：

如果您打算啟用 IAM Identity Center 委派管理員，並使用 Active Directory 做為 IAM 身分來源，您可以使用現有 AD Connector 或位於委派管理員帳戶中目錄中的 AWS 目錄 AWS Managed Microsoft AD 設定。

如果您決定將 IAM Identity Center 來源從任何其他來源變更為 Active Directory，或從 Active Directory 變更為任何其他來源，則目錄必須位於 IAM Identity Center 委派管理員成員帳戶中（由其擁有），如果存在的話；否則，它必須位於管理帳戶中。

AWS Organizations

您的 AWS 帳戶必須由管理 AWS Organizations。如果您尚未設定組織，則不需要。當您啟用 IAM Identity Center 時，您可以選擇是否要為您 AWS 建立組織。

如果您已經設定 AWS Organizations，請確定已啟用所有功能。如需詳細資訊，請參閱 AWS Organizations 使用者指南中的啟用組織中的所有功能。

若要啟用 IAM Identity Center，您必須 AWS Management Console 使用 AWS Organizations 管理帳戶的登入資料登入。使用 AWS Organizations 成員帳戶的登入資料登入時，您無法啟用 IAM Identity Center。如需詳細資訊，請參閱AWS Organizations 《使用者指南》中的建立和管理 AWS 組織。

IAM 角色

如果您已在中設定 IAM 角色 AWS 帳戶，建議您檢查您的帳戶是否接近 IAM 角色的配額。如需詳細資訊，請參閱 IAM 物件配額。

如果您接近配額，請考慮請求提高配額。否則，當您將許可集佈建至超過 IAM 角色配額的帳戶時，可能會遇到 IAM Identity Center 的問題。如需有關如何請求提高配額的資訊，請參閱 Service Quotas 使用者指南中的請求提高配額。

新一代防火牆和安全 Web 閘道

如果您使用 NGFWs 或 SWGs 等 Web 內容篩選解決方案來篩選特定 AWS 網域或 URL 端點的存取權，則必須將下列網域或 URL 端點新增至 Web 內容篩選解決方案允許清單。

特定 DNS 網域

*.awsapps.com (http://awsapps.com/)
*.signin.aws

特定 URL 端點

https：//【yourdirectory】.awsapps.com/start
https：//【yourdirectory】.awsapps.com/login
https：//【yourregion】.signin.aws/platform/login

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

AWS 帳戶需求

使用多個 AWS 帳戶