需求场景 多个aws账户，登陆麻烦且不安全，SSO单点功能并且外部身份提供者 — 如果您要管理外部身份提供者（IdP）（例如 Okta 或 Active Directory）中的用户。

官方文档：https://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/getting-started.html

最佳实践：https://aws.amazon.com/cn/blogs/security/how-to-create-and-manage-users-within-aws-sso/

大致步骤

前提条件：开启org 纳管多个账户，并且开启所有功能 ，会给成员账户发送确认开启所有功能的邮件确认。（组织创建的账号不会，邀请加入的账号需要确认）

1.仅能使用管理账户开启 IAM Identity Center 服务（注意分区域，仅能创建一次）

开启之后可以分配成员账户为IAM Identity Center的委托管理者，即其他账号也能管理这服务控制台

委托管理员能干的事情

2.创建权限集，这里我们做演示，创建最大的权限admin

3.使用组或者用户来管理权限

第一步，创建登陆的实体 用户 ，组可以简化我们重复的步骤，给组配权限，再给用户分配对应的组

略过，非常简单创建即可，忘记密码重置即可

4.登录测试权限

控制台首页

这个就是登录地址 使用刚创建的用户登录即可

登录到对应账号即可，其实就是IAM Identity Center 会帮你在对应的账号创建对应IAM角色 然后你使用sso的账号去代入到对应账号的IAM