先決條件和考量事項 - AWS IAM Identity Center
選擇一個的注意事項 AWS 區域IAM 身分中心建立的 IAM 角色配額IAM 身分識別中心和 AWS Organizations

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

先決條件和考量事項

下列主題提供設定 IAM 身分中心的必要條件和其他考量事項的相關資訊。

選擇一個的注意事項 AWS 區域

您可以在自選支援 AWS 區域 的單一執行個體中啟用 IAM 身分中心執行個體。選擇區域需要根據您的使用案例和公司政策評估您的優先順序。從 IAM Identity Center 存取 AWS 帳戶 和雲端應用程式並不取決於這個選擇;不過,存取 AWS 受管理應用程式以及用 AWS Managed Microsoft AD 作身分識別來源的能力可能取決於此選擇。如需 AWS IAM 身分中心支援的區域清單,請 AWS 一般參考 參閱中的 IAM 身分中心端點和配額

選擇 AWS 區域.

  • 地理位置 — 當您選取地理位置上最接近大多數使用者的區域時,他們對存取入口網站和 AWS 受管理應用程式 (例如 Amazon SageMaker Studio) 的 AWS 存取延遲將較低。

  • AWS 受管應用程式的可用性 — AWS 受管應用程式 (例如 Amazon SageMaker) 只能在支援的應用程 AWS 區域 式中運作。在您要搭配使用的 AWS 受管理應用程式所支援的區域中啟用 IAM 身分中心。許多 AWS 受管理應用程式也只能在啟用 IAM 身分中心的相同區域中運作。

  • 數位主權 — 數位主權法規或公司政策可能會強制使用特定項目。 AWS 區域請諮詢貴公司的法律部門。

  • 身分識別來源 — 如果您使用 AWS Managed Microsoft AD 或 AD Connector 做為身分識別來源,則其主區域必須與您啟用 IAM 身分中心的區域相符。 AWS 區域

  • 預設情況下停用區域 — AWS 最初預設 AWS 區域 為啟用所有新功能,這會自動讓您的使用者在任何地區建立資源。 AWS 帳戶 現在,當 AWS 添加新區域時,默認情況下在所有帳戶中禁用其使用。如果您在預設停用的區域中部署 IAM 身分中心,則必須在要管理 IAM 身分中心存取權的所有帳戶中啟用此區域。即使您不打算在這些帳戶中在該區域中建立任何資源,這也是必要的。

    您可以為組織中目前帳戶啟用 [區域],而且您必須對稍後可能新增的新帳戶重複此動作。如需指示,請參閱使用 AWS Organizations 者指南中的啟用或停用組織中的區域。若要避免重複這些額外步驟,您可以選擇在預設啟用的區域中部署 IAM 身分中心。作為參考,預設會啟用下列「區域」:

    • 美國東部 (俄亥俄)

    • 美國東部 (維吉尼亞北部)

    • 美國西部 (奧勒岡)

    • 美國西部 (加利佛尼亞北部)

    • Europe (Paris)

    • 南美洲 (聖保羅)

    • 亞太區域 (孟買)

    • 歐洲 (斯德哥爾摩)

    • 亞太區域 (首爾)

    • 亞太區域 (東京)

    • 歐洲 (愛爾蘭)

    • 歐洲 (法蘭克福)

    • 歐洲 (倫敦)

    • 亞太區域 (新加坡)

    • 亞太區域 (悉尼)

    • 加拿大 (中部)

    • 亞太區域 (大阪)

  • 跨區域通話 — 在某些區域,IAM 身分中心可能會呼叫不同區域的 Amazon 簡易電子郵件服務以傳送電子郵件。在這些跨區域呼叫中,IAM 身分中心會將特定使用者屬性傳送至其他區域。如需關於區域的詳細資訊,請參閱AWS IAM Identity Center 區域可用性

交換 AWS 區域

您只能透過刪除目前的執行個體並在其他區域建立新執行個體來切換 IAM 身分中心區域。如果您已透過現有執行個體啟用 AWS 受管應用程式,則應先刪除該應用程式,然後再刪除 IAM 身分中心。您必須在新執行個體中重新建立使用者、群組、權限集、應用程式和指派。您可以使用 IAM 身分中心帳戶和應用程式指派 API 取得組態的快照,然後使用該快照在新區域中重建您的組態。您可能還需要透過新執行個體的管理主控台重新建立某些 IAM 身分中心設定。如需刪除 IAM 身分中心的指示,請參閱刪除您的 IAM 身分中心執行個體

IAM 身分中心建立的 IAM 角色配額

IAM 身分中心會建立 IAM 角色,為使用者提供資源的權限。當您指派權限集時,IAM 身分中心會在每個帳戶中建立對應的 IAM 角色,並將權限集中指定的政策附加到這些角色。IAM Identity Center 會管理角色,並允許您找到的授權使用者擔任該角色,方法是使用 AWS 存取入口網站或。 AWS CLI當您修改權限集時,IAM 身分中心會確保相應地更新對應的 IAM 政策和角色。

如果您已在中設定 IAM 角色 AWS 帳戶,建議您檢查帳戶是否接近 IAM 角色的配額。每個帳戶的 IAM 角色預設配額為 1000 個角色。如需詳細資訊,請參閱 IAM 物件配額

如果您接近配額,請考慮要求增加配額。否則,當您佈建權限集到超過 IAM 角色配額的帳戶時,您可能會遇到 IAM 身分中心的問題。如需如何要求提高配額的詳細資訊,請參閱《Service Quotas 使用者指南》中的要求增加配額

注意

如果您正在查看已使用 IAM 身分中心的帳戶中的 IAM 角色,您可能會注意到開頭為的角色名稱“AWSReservedSSO_”。這些是 IAM 身分中心服務在帳戶中建立的角色,來自為帳戶指派權限集。

IAM 身分識別中心和 AWS Organizations

AWS Organizations 建議使用 (但不是必要) 與 IAM 身分中心搭配使用。如果您尚未設定組織,則不必這麼做。啟用 IAM 身分中心時,您將選擇是否使用啟用服務 AWS Organizations。當您設定組織時,設定 AWS 帳戶 組織的會成為組織的管理帳戶。的根使用者現在 AWS 帳戶 是組織管理帳戶的擁有者。 AWS 帳戶 您邀請加入組織的任何額外資訊都是成員帳戶。管理帳戶會建立管理成員帳號的組織資源、組織單位和策略。權限由管理帳戶委派給成員帳戶。

注意

建議您啟用 IAM 身分中心 AWS Organizations,以便建立 IAM 身分中心的組織執行個體。我們建議使用組織執行個體的最佳做法,因為它支援 IAM Identity Center 的所有功能,並提供集中管理功能。如需詳細資訊,請參閱 管理 IAM 身分中心的組織和帳戶執行個體

如果您已設定 AWS Organizations 並打算將 IAM 身分中心新增至組織,請確定已啟用所有 AWS Organizations 功能。當您建立組織時,根據預設會啟用所有功能。如需詳細資訊,請參閱 AWS Organizations 使用者指南中的啟用組織中的所有功能

若要啟用 IAM Identity Center,您必須以具有管理登入資料的使用者身 AWS Management Console 分或根使用者身分登入 AWS Organizations 管理帳戶來登入管理帳戶 (除非沒有其他管理使用者,否則不建議使用)。使用 AWS Organizations 成員帳戶的管理登入資料登入時,無法啟用 IAM 身分中心。如需詳細資訊,請參閱AWS Organizations 使用指南中的建立和管理 AWS 組織

如需管理您的詳細資訊 AWS Organizations,請參閱下列內容: