Replikasi Pusat Identitas IAM ke Wilayah tambahan - AWS IAM Identity Center
Langkah 1: Buat kunci replikaLangkah 2: Tambahkan WilayahLangkah 3: Perbarui pengaturan iDP eksternalLangkah 4: Konfirmasikan firewall dan gateway allow-listLangkah 5: Berikan informasi kepada pengguna AndaWilayah berubah di luar penambahan Wilayah pertamaData apa yang direplikasi?

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Replikasi Pusat Identitas IAM ke Wilayah tambahan

Jika lingkungan Anda memenuhi prasyarat, ikuti langkah-langkah di bawah ini untuk mereplikasi instans Pusat Identitas IAM Anda ke Wilayah tambahan:

Langkah 1: Buat kunci replika di Wilayah tambahan

Sebelum mereplikasi Pusat Identitas IAM ke Wilayah, Anda harus terlebih dahulu membuat kunci replika kunci KMS yang dikelola pelanggan Anda di Wilayah tersebut dan mengonfigurasi kunci replika dengan izin yang diperlukan untuk pengoperasian Pusat Identitas IAM. Untuk petunjuk cara membuat kunci replika Multi-wilayah, lihat Membuat kunci replika Multi-wilayah.

Pendekatan yang disarankan untuk izin kunci KMS adalah menyalin kebijakan kunci dari kunci utama, yang memberikan izin yang sama yang telah ditetapkan untuk Pusat Identitas IAM di Wilayah utama. Atau, Anda dapat menentukan kebijakan kunci khusus Wilayah, meskipun pendekatan ini meningkatkan kompleksitas pengelolaan izin di seluruh Wilayah dan mungkin memerlukan koordinasi tambahan saat memperbarui kebijakan di masa mendatang.

catatan

AWS KMS tidak menyinkronkan kebijakan kunci KMS Anda di seluruh Wilayah kunci KMS Multi-wilayah Anda. Agar kebijakan kunci KMS tetap sinkron di seluruh Wilayah kunci KMS, Anda harus menerapkan perubahan di setiap Wilayah secara individual.

Langkah 2: Tambahkan Wilayah di Pusat Identitas IAM

Menambahkan Wilayah di Pusat Identitas IAM memicu replikasi otomatis dan asinkron data Pusat Identitas IAM ke Wilayah tersebut. Di bawah ini adalah petunjuk untuk melakukan ini di Konsol Manajemen AWS dan AWS CLI

Console

Untuk menambahkan Wilayah

  1. Buka konsol Pusat Identitas IAM.

  2. Pada panel navigasi, silakan pilih Pengaturan.

  3. Pilih tab Manajemen.

  4. Di bagian Regions for IAM Identity Center, pilih Add Region.

  5. Di bagian yang Wilayah AWS tersedia untuk replikasi, pilih pilihan Wilayah AWS Anda. Jika Region tidak muncul dalam daftar, itu tidak tersedia untuk replikasi karena kunci KMS belum direplikasi di sana. Untuk informasi selengkapnya, lihat Menerapkan kunci KMS yang dikelola pelanggan di Pusat Identitas IAM.

  6. Pilih Tambah Wilayah.

  7. Di bagian Regions for IAM Identity Center, pantau status Region. Gunakan tombol Refresh (panah melingkar) untuk memeriksa status Region terbaru sesuai kebutuhan. Setelah replikasi selesai, lanjutkan ke Langkah 2.

AWS CLI

Untuk menambahkan Wilayah 

aws sso-admin add-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

Untuk memeriksa status Wilayah saat ini 

aws sso-admin describe-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

Ketika status Wilayah AKTIF, Anda dapat melanjutkan ke Langkah 2.

Durasi replikasi awal ke Wilayah tambahan tergantung pada jumlah data dalam instans Pusat Identitas IAM Anda. Perubahan inkremental berikutnya direplikasi dalam hitungan detik dalam banyak kasus.

Langkah 3: Perbarui pengaturan iDP eksternal

Ikuti tutorial untuk iDP eksternal Anda Tutorial sumber identitas Pusat Identitas IAM untuk langkah-langkah berikut:

Langkah 3.a: Tambahkan Assertion Consumer Service (ACS) URLs ke IDP eksternal Anda

Langkah ini memungkinkan login langsung ke setiap Wilayah tambahan dan diperlukan untuk mengaktifkan login ke aplikasi AWS terkelola yang diterapkan di Wilayah tersebut dan untuk akses ke Akun AWS s melalui Wilayah tersebut. Untuk mempelajari di mana menemukan ACS URLs, lihatTitik akhir ACS di primer dan tambahan Wilayah AWS.

Langkah 3.b (Opsional): Buat Portal akses AWS tersedia di portal iDP eksternal

Buat Portal akses AWS di Wilayah tambahan tersedia sebagai aplikasi bookmark di portal iDP eksternal. Aplikasi bookmark hanya berisi tautan (URL) ke tujuan yang diinginkan dan mirip dengan bookmark browser. Anda dapat menemukan Portal akses AWS URLs di konsol dengan memilih Lihat semua Portal akses AWS URLs di bagian Regions for IAM Identity Center. Untuk informasi selengkapnya, lihat Portal akses AWS titik akhir di primer dan tambahan Wilayah AWS.

IAM Identity Center mendukung SAMP SSO yang diprakarsai IDP di setiap Wilayah tambahan, tetapi eksternal IdPs biasanya mendukung ini hanya dengan satu URL ACS. Untuk kontinuitas, kami sarankan agar URL ACS Wilayah utama tetap digunakan untuk SAMP SSO yang diprakarsai IDP dan mengandalkan aplikasi bookmark dan bookmark browser untuk akses ke Wilayah tambahan.

Langkah 4: Konfirmasikan firewall dan gateway allow-list

Tinjau daftar izin domain Anda di firewall atau gateway, dan perbarui berdasarkan daftar izin yang didokumentasikan.

Langkah 5: Berikan informasi kepada pengguna Anda

Berikan informasi kepada pengguna Anda tentang pengaturan baru, termasuk Portal akses AWS URL di Wilayah tambahan dan cara menggunakan Wilayah tambahan. Tinjau bagian berikut untuk detail yang relevan:

Wilayah berubah di luar penambahan Wilayah pertama

Anda dapat menambah dan menghapus Wilayah tambahan. Wilayah utama tidak dapat dihapus selain dengan menghapus seluruh instans Pusat Identitas IAM. Untuk informasi selengkapnya tentang menghapus Wilayah, lihatMenghapus Wilayah dari Pusat Identitas IAM.

Anda tidak dapat mempromosikan Wilayah tambahan untuk menjadi yang utama atau menurunkan Wilayah utama menjadi tambahan.

Data apa yang direplikasi?

IAM Identity Center mereplikasi data berikut:

Data Sumber replikasi dan target
Identitas tenaga kerja (pengguna, grup, keanggotaan grup) Dari Wilayah utama ke Wilayah tambahan
Set izin dan tugasnya kepada pengguna dan grup Dari Wilayah utama ke Wilayah tambahan
Konfigurasi (seperti pengaturan IDP SAMP eksternal) Dari Wilayah utama ke Wilayah tambahan
Metadata aplikasi dan penugasan aplikasi untuk pengguna dan grup Dari Wilayah Pusat Identitas IAM yang terhubung aplikasi ke Wilayah lain yang diaktifkan
Penerbit token tepercaya Dari Wilayah utama ke Wilayah tambahan
Sesi Dari Wilayah asal sesi ke Wilayah lain yang diaktifkan
catatan

IAM Identity Center tidak mereplikasi data yang disimpan dalam aplikasi AWS terkelola. Selain itu, itu tidak mengubah jejak regional penerapan aplikasi. Misalnya, jika instans Pusat Identitas IAM Anda di AS Timur (Virginia N.), dan Anda memiliki Amazon Redshift yang diterapkan di Wilayah yang sama, mereplikasi Pusat Identitas IAM ke AS Barat (Oregon) tidak memengaruhi Wilayah penyebaran Amazon Redshift dan data yang disimpannya.

Pertimbangan:

  • Pengidentifikasi sumber daya global di seluruh Wilayah yang diaktifkan - Pengguna, grup, kumpulan izin, dan sumber daya lainnya memiliki pengidentifikasi yang sama di seluruh Wilayah yang diaktifkan.

  • Replikasi tidak memengaruhi peran IAM yang disediakan - Peran IAM yang ada yang disediakan dari penetapan set izin digunakan selama login akun dari Wilayah mana pun yang diaktifkan.

  • Replikasi tidak dikenakan biaya penggunaan KMS - Replikasi data ke Wilayah tambahan tidak menyebabkan biaya penggunaan KMS.