翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM Identity Center を追加のリージョンにレプリケートする
<a name="replicate-to-additional-region"></a>

 マルチリージョンのカスタマーマネージド KMS キーを使用して IAM アイデンティティセンターを設定するなど、環境が[前提条件](multi-region-iam-identity-center.md#multi-region-prerequisites)を満たしている場合は、次のステップを実行して IAM アイデンティティセンターインスタンスを別のリージョンにレプリケートします。プライマリリージョンは、これらのステップ中およびステップ後に正常に動作し続けます。

## ステップ 1: 追加のリージョンにレプリカキーを作成する
<a name="replicate-kms-key"></a>

 IAM Identity Center をリージョンにレプリケートする前に、まずそのリージョンでカスタマーマネージド KMS キーのレプリカキーを作成し、IAM Identity Center のオペレーションに必要なアクセス許可を持つレプリカキーを設定する必要があります。マルチリージョンレプリカキーを作成する手順については、[「マルチリージョンレプリカキーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-replicate.html)」を参照してください。

 KMS キーアクセス許可の推奨アプローチは、プライマリキーからキーポリシーをコピーすることです。プライマリキーは、プライマリリージョンの IAM Identity Center に対して既に確立されたのと同じアクセス許可を付与します。または、リージョン固有のキーポリシーを定義することもできますが、このアプローチではリージョン間のアクセス許可の管理が複雑になり、将来ポリシーを更新するときに追加の調整が必要になる場合があります。

**注記**  
AWS KMS は、マルチリージョン KMS キーのリージョン間で KMS キーポリシーを同期しません。KMS キーポリシーを KMS キーリージョン間で同期させるには、各リージョンに変更を個別に適用する必要があります。

## ステップ 2: IAM アイデンティティセンターにリージョンを追加する
<a name="add-region-step"></a>

IAM アイデンティティセンターにリージョンを追加すると、そのリージョンへの IAM アイデンティティセンターデータの自動レプリケーションがトリガーされます。レプリケーションは結果整合性と非同期です。以下のタブでは、 AWS マネジメントコンソール および でこれを行う手順について説明します AWS CLI。

------
#### [ Console ]

 **リージョンを追加するには** 

1.  [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon/)を開きます。

1.  ナビゲーションペインで **[設定]** を選択します。

1.  **[管理]** タブを選択します。

1.  **「IAM アイデンティティセンターのリージョン**」セクションで、**「リージョンの追加**」を選択します。

1.  **AWS リージョン レプリケーションに使用できる**セクションで、任意の を選択します AWS リージョン。リージョンがリストに表示されない場合、KMS キーはレプリケートされていないため、レプリケーションには使用できません。詳細については、「[でのカスタマーマネージド KMS キーの実装 AWS IAM アイデンティティセンター](identity-center-customer-managed-keys.md)」を参照してください。

1.  [**リージョンの追加**] を選択します。

1.  **IAM アイデンティティセンターのリージョン**セクションで、リージョンのステータスをモニタリングします。**更新**ボタン (円形の矢印) を使用して、必要に応じて最新のリージョンのステータスを確認します。レプリケーションが完了したら、ステップ 2 に進みます。

------
#### [ AWS CLI ]

 **リージョンを追加するには** 

```
aws sso-admin add-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1
```

 **現在のリージョンのステータスを確認するには** 

```
aws sso-admin describe-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1
```

 リージョンのステータスが ACTIVE の場合、ステップ 2 に進むことができます。

------

 追加のリージョンへの最初のレプリケーションの期間は、IAM Identity Center インスタンスのデータ量によって異なります。後続の増分変更は、ほとんどの場合、数秒以内にレプリケートされます。

## ステップ 3: 外部 IdP 設定を更新する
<a name="update-external-idp-setup"></a>

 次の手順については、 の外部 IdP [IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md)のチュートリアルに従ってください。

 **ステップ 3.a: アサーションコンシューマーサービス (ACS) URLs を外部 IdP に追加する** 

 このステップでは、追加の各リージョンへの直接サインインを有効にし、それらのリージョンにデプロイされた AWS マネージドアプリケーションへのサインインを有効にし、それらのリージョン AWS アカウントを介して にアクセスするために必要です。ACS URLs「」を参照してください[プライマリおよび追加の ACS エンドポイント AWS リージョン](multi-region-workforce-access.md#acs-endpoints)。

 **ステップ 3.b (オプション): を外部 IdP ポータル AWS アクセスポータル で使用できるようにする** 

 追加のリージョン AWS アクセスポータル の を、外部 IdP ポータルのブックマークアプリとして利用できるようにします。ブックマークアプリには、目的の宛先へのリンク (URL) のみが含まれており、ブラウザのブックマークに似ています。コンソールで URL を見つけるには、 AWS アクセスポータル URLs 「IAM アイデンティティセンターのリージョン」セクションで** AWS アクセスポータル URLs**」を選択します。 ****詳細については、「[AWS アクセスポータル プライマリおよび追加の のエンドポイント AWS リージョン](multi-region-workforce-access.md#portal-endpoints)」を参照してください。

 IAM Identity Center は、追加のリージョンごとに IdP が開始する SAML SSO をサポートしますが、外部 IdPs、単一の ACS URL でのみこれをサポートします。継続性を確保するために、プライマリリージョンの ACS URL を IdP 開始 SAML SSO に使用したままにし、ブックマークアプリケーションとブラウザのブックマークを使用して追加のリージョンにアクセスすることをお勧めします。

## ステップ 4: ファイアウォールとゲートウェイの許可リストを確認する
<a name="confirm-firewall-allowlists"></a>

 ファイアウォールまたはゲートウェイのドメイン許可リストを確認し、[文書化された許可リストに基づいて更新します](enable-identity-center-portal-access.md)。

## ステップ 5: ユーザーに情報を提供する
<a name="provide-user-information"></a>

 追加のリージョンの AWS アクセスポータル URL や追加のリージョンの使用方法など、新しいセットアップに関する情報をユーザーに提供します。関連する詳細については、以下のセクションを参照してください。
+  [追加のリージョンを介したワークフォースアクセス](multi-region-workforce-access.md) 
+  [AWS アカウント アクセスのために追加のリージョンにフェイルオーバーする](multi-region-failover.md) 
+  [複数の AWS リージョンにまたがるアプリケーションのデプロイと管理](multi-region-application-use.md) 

## 最初のリージョンの追加以外のリージョンの変更
<a name="making-changes-regions"></a>

追加のリージョンを追加または削除できます。IAM Identity Center インスタンス全体を削除しない限り、プライマリリージョンを削除することはできません。リージョンの削除の詳細については、「」を参照してください[IAM Identity Center からリージョンを削除する](remove-region.md)。

追加リージョンをプライマリに昇格させたり、追加するプライマリリージョンを降格したりすることはできません。

## レプリケートされるデータ
<a name="replicated-data"></a>

 IAM Identity Center は、次のデータをレプリケートします。


| データ | レプリケーションソースとターゲット | 
| --- | --- | 
| ワークフォース ID (ユーザー、グループ、グループメンバーシップ) | プライマリリージョンから追加のリージョンへ | 
| アクセス許可セットとそのユーザーとグループへの割り当て | プライマリリージョンから追加のリージョンへ | 
| 設定 (外部 IdP SAML 設定など) | プライマリリージョンから追加のリージョンへ | 
| ユーザーとグループへのアプリケーションメタデータとアプリケーション割り当て | アプリケーションの接続された IAM アイデンティティセンターリージョンから他の有効なリージョンへ | 
| 信頼できるトークン発行者 | プライマリリージョンから追加のリージョンへ | 
| セッション | セッションの送信元のリージョンから他の有効なリージョンへ | 

**注記**  
 IAM Identity Center は、 AWS マネージドアプリケーションに保存されているデータをレプリケートしません。また、アプリケーションデプロイのリージョンフットプリントは変更されません。たとえば、米国東部 (バージニア北部) の の IAM アイデンティティセンターインスタンスで、Amazon Redshift が同じリージョンにデプロイされている場合、IAM アイデンティティセンターを米国西部 (オレゴン) にレプリケートしても、Amazon Redshift のデプロイリージョンとそれが保存するデータには影響しません。

 **考慮事項**: 
+  **有効なリージョン全体のグローバルリソース識別子** - ユーザー、グループ、アクセス許可セット、およびその他のリソースは、有効なリージョン全体で同じ識別子を持ちます。
+  **レプリケーションはプロビジョニングされた IAM ロールには影響しません** - アクセス許可セットの割り当てからプロビジョニングされた既存の IAM ロールは、有効なリージョンからのアカウントサインイン中に使用されます。