使用 AWS IAM 身分中心和 AWS Control Tower

在 AWS Control Tower 中，IAM 身分中心可讓中央雲端管理員和終端使用者管理對多個 AWS 帳戶和商業應用程式的存取。根據預設，AWS Control Tower 會使用此服務來設定和管理透過 Account Factory 建立之帳戶的存取權，除非您已選取自行管理身分和存取控制的選項。

如需有關選取身分識別提供者的詳細資訊，請參閱。IAM 身分識別中心指引

如需有關如何在 AWS Control Tower 中設定 IAM 身分中心使用者和許可的簡短教學課程，您可以觀看此影片 (6:23)。若要獲得更佳的觀賞效果，請選取影片右下角的圖示，將影片放大至全螢幕。並提供字幕。

關於使用 IAM 身分中心設定 AWS Control Tower

最初設定 AWS Control Tower 時，只有根使用者和任何具有正確許可的 IAM 使用者可以新增 IAM 身分中心使用者。不過，在AWSAccountFactory群組中新增使用者之後，他們可以從 Account Factory 精靈建立新的 IAM 身分中心使用者。如需詳細資訊，請參閱 使用 Account Factory 佈建和管理帳戶。

如果您選擇建議的預設值，AWS Control Tower 會使用預先設定的目錄來設定您的登 landing zone，以協助您管理使用者身分和單一登入，以便您的使用者擁有跨帳戶的聯合存取權。當您設定 landing zone 域時，會建立此預設目錄以包含使用者群組和權限集。

注意

您可以使用 IAM Identity Center AWS IAM Identity Center 的委派系統管理員功能，將組織中的管理委派給管理帳戶以外的帳戶。如果您選擇使用此功能，請注意，具有管理群組成員資格存取權的管理員也可以管理指派給管理帳戶的群組。如需詳細資訊，請參閱此部落格文章，標題為，開始使用 AWS SSO 委派系統管理

IAM 身分中心帳戶和 AWS Control Tower 的注意事項

以下是在 AWS Control Tower 中使用 IAM 身分中心使用者帳戶時需要注意的事項。

• 如果您的 AWS IAM 身分中心使用者帳戶已停用，您會在嘗試在 Account Factory 中佈建新帳戶時收到錯誤訊息。您可以在 IAM 身分中心主控台中重新啟用 IAM 身分中心使用者。

• 如果您在更新與 Account Factory 提供的帳戶相關聯的已佈建產品時指定新的 IAM 身分中心使用者電子郵件地址，AWS Control Tower 會建立新的 IAM 身分中心使用者帳戶。之前建立的使用者帳戶不會移除。如果您想要從 AWS IAM 身分中心移除先前的 IAM 身分中心使用者電子郵件地址，請參閱停用使用者。

• AWS IAM 身分中心已與 Azure 作用中目錄整合，您可以將現有的 Azure 作用中目錄連線到 AWS Control Tower。

• 如需 AWS Control Tower 行為如何與 AWS IAM 身分中心和不同身分來源互動的詳細資訊，請參閱 AWS IAM 身分中心文件中的變更身分來源的注意事項。