Diseño de resiliencia y comportamiento regional

El servicio IAM Identity Center está totalmente gestionado y utiliza AWS servicios duraderos y de alta disponibilidad, como Amazon S3 y Amazon EC2. Para garantizar la disponibilidad en caso de que se produzca una interrupción en la zona de disponibilidad, el IAM Identity Center opera en varias zonas de disponibilidad. Puede replicar su instancia del IAM Identity Center en regiones adicionales para mantener el acceso a la cuenta con los permisos ya proporcionados en caso de que se produzca una interrupción regional. Para obtener más información, consulte Uso del centro de identidad de IAM en varios Regiones de AWS.

Habilita el Centro de Identidad de IAM en su AWS Organizations cuenta de administración. Esto es necesario para que IAM Identity Center pueda aprovisionar, desaprovisionar y actualizar las funciones en todas sus funciones. Cuentas de AWS Al activar el Centro de Identidad de IAM, se despliega en la Región de AWS región actualmente seleccionada, denominada «región principal». Si desea realizar el despliegue en una región específica Región de AWS, cambie la selección de región antes de activar el Centro de identidad de IAM, ya que la región principal no se puede cambiar una vez activado el Centro de identidades de IAM.

El Centro de identidades de IAM solo admite la mayoría de las funciones administrativas de la región principal. Esto incluye la conexión a un proveedor de identidad externo, la sincronización de usuarios y grupos y la creación y asignación de conjuntos de permisos a usuarios y grupos. Por el contrario, la administración de las aplicaciones y sus asignaciones deben realizarse en la región del centro de identidad de IAM en la que se creó la aplicación.

Si bien IAM Identity Center determina el acceso desde la región en la que se habilita el servicio, las Cuentas de AWS son globales. Esto significa que, una vez que los usuarios inicien sesión en el Centro de Identidad de IAM, podrán operar en cualquier región al acceder a Cuentas de AWS través del Centro de Identidad de IAM. Sin embargo, la mayoría de las aplicaciones AWS administradas, como Amazon SageMaker AI, deben instalarse en una región de la instancia del centro de identidad de IAM para que los usuarios se autentiquen y asignen acceso a estas aplicaciones. Para obtener información sobre las restricciones regionales a la hora de utilizar una aplicación con el Centro de Identidad de IAM, consulte la documentación de la aplicación y. Implementación y administración de aplicaciones AWS administradas en múltiples Regiones de AWS

También puede utilizar el Centro de identidades de IAM para autenticar y autorizar el acceso a las aplicaciones gestionadas por el cliente basadas en SAML a las que se puede acceder a través de una URL pública, independientemente de la plataforma o la nube en la que se haya creado la aplicación.

No recomendamos utilizarlas Instancias de cuenta de IAM Identity Center como medio para implementar la resiliencia, ya que no permiten el acceso a las AWS cuentas y crean un segundo punto de control aislado que no está conectado a la instancia de la organización.

Diseñado para la disponibilidad

En la siguiente tabla se muestra la disponibilidad para la que se diseñó el Centro de Identidad de IAM en una sola AWS región. Estos valores no representan un acuerdo de nivel de servicio ni una garantía, sino que proporcionan información sobre los objetivos de diseño. Los porcentajes de disponibilidad hacen referencia al acceso a los datos o las funciones y no a la durabilidad (por ejemplo, la retención de datos a largo plazo).