AWS SSO 不受 Control Tower 管理

Posted 2023-04-13

【中文标题】AWS SSO 不受 Control Tower 管理

【英文标题】：AWS SSO not managed by Control Tower

【发布时间】：2020-05-19 14:13:34

【问题描述】：

我正在努力实现的目标

当我尝试在 Control Tower 中管理用户时，我看到了这个：

（此页面仅适用于使用由 AWS Control Tower 管理的 SSO 目录的客户 - 基本上对于 Google，我在那里找不到）

我没有关于这个错误的具体目标我只是担心它可能会阻止我将来做某事。

我做了什么

我首先创建了与我的自托管 AD 的 AD 连接器连接，然后将此目录连接到 SSO，然后我创建了 Control Tower（由于错误消息指出我无法在没有 SSO 的情况下配置 Control Tower）。

一些更奇怪的行为

在用户门户 URL 下有一个永无止境的微调器，我不确定是否可以从 SSO 端更改任何设置以影响此错误（如果我错了，请纠正我）。

【参考方案1】：

听起来您想知道这个错误是否意味着您会错过某些东西。答案：您无需担心，因为您使用自己的解决方案来处理 AWS Control Tower 的这一方面：身份、访问管理和 SSO。

我认为，截至 2020 年 10 月版的 AWS 管理控制台，向您展示您遗漏（但不需要）什么的最佳方式是使用一些屏幕截图。

如果您让 AWS Control Tower 为您设置默认 AWS SSO，此页面（AWS Control Tower > 用户和访问）将向您显示什么：

如果您点击“在 AWS Single Sign-On 中查看”的链接，您将能够看到 AWS SSO 在用户、权限集和账户之间的映射： 请注意，权限集选项卡有以下解释：

权限集定义分配的用户和组对此 AWS 账户的访问级别。这些集存储在 AWS SSO 中并作为 IAM 角色出现在此账户中。您可以更新与此 AWS 账户关联的任何权限集，以在 IAM 中重新应用或重置您的权限策略。

【讨论】：

这很奇怪，因为我看到的是同一个屏幕，它只是连接到 AD。

有什么奇怪的？哪个屏幕截图？我现在很好奇:)

最后一个，看起来一样，我说这很奇怪，因为如果我使用相同的方法并且我有一个私人配置的 SSO，为什么会出现错误消息？没有其他的 UX 方法可以处理这种情况吗？