IAM 身分識別中心 AD 同步

透過 IAM 身分中心 AD 同步，您可以使用 IAM 身分中心，將 Active Directory 中的使用者和群組指派給受管理應用程式或客戶 AWS 受管應用程式的存取權限。 AWS 帳戶 所有具有指派的身分都會自動同步至 IAM 身分中心。

IAM 身分中心 AD 同步的運作方式

IAM 身分中心會使用下列程序，重新整理身分識別存放區中的 AD 型身分識別資料。

建立

當您使用 AWS 主控台或指派 API 呼叫將使用者 AWS 帳戶 或群組指派給應用程式或應用程式時，有關使用者、群組和成員資格的資訊會定期同步至 IAM Identity Center 身分識別存放區。新增至 IAM 身分中心指派的使用者或群組通常會在兩小時內出現在 AWS 身分識別存放區中。視同步處理的資料量而定，此程序可能需要更長的時間。只有直接指派存取權的使用者和群組，或是指派存取權之群組成員的使用者和群組才會進行同步處理。

身為其他群組 (稱為巢狀群組) 成員的群組也會寫入識別身分存放區。當您指派給 Active Directory 中包含巢狀群組的群組時，套用指派的方式取決於您使用 AD 同步還是可設定的 AD 同步。

• AD 同步 — 當您指派給 Active Directory 中包含巢狀群組的群組時，只有群組的直屬成員可以存取該帳戶。例如，如果您將存取權指派給群組 A，而群組 B 是群組 A 的成員，則只有群組 A 的直屬成員可以存取該帳戶。群組 B 的成員不會繼承存取權。

• 可設定的 AD 同步 — 使用可設定的 AD 同步，將指派給 Active Directory 中包含巢狀群組的群組，可能會增加具有應用程式存取權限 AWS 帳戶 或存取應用程式的使用者範圍。在此情況下，指派會套用至所有使用者，包括巢狀群組中的使用者。例如，如果您將存取權指派給群組 A，而群組 B 是群組 A 的成員，則群組 B 的成員也會繼承此存取權。

如果使用者在使用者物件首次同步化之前存取 IAM Identity Center，則會使用 just-in-time (JIT) 佈建視需求建立該使用者的身分識別存放區物件。除非直接指派或以群組為基礎的 IAM 身分中心權利，否則由 JIT 佈建建建立的使用者不會進行同步。JIT 提供之使用者的群組成員資格在同步化之後才能使用。

如需如何將存取權指派給使用者的指示 AWS 帳戶，請參閱單一登入存取權 AWS 帳戶。

更新

IAM 身分識別中心身分識別存放區中的身分識別資料會定期讀取 Active Directory 中的來源目錄中的資料，以保持最新狀態。在 Active Directory 中變更的身分識別資料通常會在四小時內出現在 AWS 識別身分存放區中。視同步處理的資料量而定，此程序可能需要更長的時間。

在 IAM 身分中心建立或更新使用者和群組物件及其成員資格，以對應至 Active Directory 中來源目錄中的對應物件。對於使用者屬性，只會在 IAM 身分中心中更新 IAM 身分中心主控台的 [管理存取控制屬性] 區段中列出的屬性子集。此外，使用者屬性也會隨著每個使用者驗證事件更新。

刪除

從 Active Directory 中的來源目錄中刪除對應的使用者或群組物件時，會從 IAM 身分識別中心身分存放區中刪除使用者和群組。