Conception de la résilience et comportement régional

Le service IAM Identity Center est entièrement géré et utilise des AWS services hautement disponibles et durables, tels qu'Amazon S3 et Amazon EC2. Pour garantir la disponibilité en cas d'interruption de la zone de disponibilité, IAM Identity Center fonctionne dans plusieurs zones de disponibilité. Vous pouvez répliquer votre instance IAM Identity Center vers des régions supplémentaires afin de conserver l'accès au compte avec les autorisations déjà accordées en cas de perturbation régionale. Pour de plus amples informations, veuillez consulter Utilisation d'IAM Identity Center sur plusieurs Régions AWS.

Vous activez IAM Identity Center dans votre compte AWS Organizations de gestion. Cela est nécessaire pour qu'IAM Identity Center puisse provisionner, déprovisionner et mettre à jour les rôles dans tous vos domaines. Comptes AWS Lorsque vous activez IAM Identity Center, il est déployé dans la Région AWS région actuellement sélectionnée, appelée « région principale ». Si vous souhaitez effectuer un déploiement vers une région spécifique Région AWS, modifiez la sélection de région avant d'activer IAM Identity Center, car la région principale ne peut pas être modifiée une fois IAM Identity Center activé.

IAM Identity Center prend en charge la plupart des fonctions administratives uniquement à partir de la région principale. Cela inclut la connexion à un fournisseur d'identité externe, la synchronisation des utilisateurs et des groupes, ainsi que la création et l'attribution d'ensembles d'autorisations aux utilisateurs et aux groupes. En revanche, la gestion des applications et de leurs attributions doit avoir lieu dans la région du centre d'identité IAM où l'application a été créée.

Bien qu'IAM Identity Center détermine l'accès depuis la région dans laquelle vous activez le service, Comptes AWS ils sont mondiaux. Cela signifie qu'une fois que les utilisateurs se sont connectés à IAM Identity Center, ils peuvent opérer dans n'importe quelle région lorsqu'ils y accèdent Comptes AWS via IAM Identity Center. La plupart des applications AWS gérées telles qu'Amazon SageMaker AI doivent toutefois être installées dans une région de votre instance IAM Identity Center pour que les utilisateurs puissent s'authentifier et attribuer l'accès à ces applications. Pour plus d'informations sur les contraintes régionales lors de l'utilisation d'une application avec IAM Identity Center, consultez la documentation de l'application etDéploiement et gestion d'applications AWS gérées sur plusieurs Régions AWS.

Vous pouvez également utiliser IAM Identity Center pour authentifier et autoriser l'accès aux applications SAML gérées par le client accessibles via une URL publique, indépendamment de la plateforme ou du cloud sur lequel l'application est construite.

Nous vous déconseillons de les utiliser Instances de compte d’IAM Identity Center comme moyen de mise en œuvre de la résilience, car ils ne prennent pas en charge l'accès aux AWS comptes et créent un deuxième point de contrôle isolé qui n'est pas connecté à l'instance de votre organisation.

Conçu pour la disponibilité

Le tableau suivant indique la disponibilité pour laquelle IAM Identity Center est conçu dans une seule AWS région. Ces valeurs ne constituent pas un accord de niveau de service ou une garantie, mais fournissent plutôt un aperçu des objectifs de conception. Les pourcentages de disponibilité font référence à l'accès aux données ou aux fonctions, et non à la durabilité (par exemple, conservation à long terme des données).