復元力設計とリージョンごとの動作

IAM Identity Center サービスはフルマネージド型で、Amazon S3 や Amazon EC2 などの可用性と耐久性の高い AWS サービスを使用しています。アベイラビリティーゾーンが中断した場合に可用性を確保するために、IAM アイデンティティセンターは複数のアベイラビリティーゾーンで動作します。IAM Identity Center インスタンスを追加のリージョンにレプリケートして、リージョンの中断時に既にプロビジョニングされたアクセス許可を持つアカウントアクセスを維持できます。詳細については、「複数の で IAM Identity Center を使用する AWS リージョン」を参照してください。

AWS Organizations 管理アカウントで IAM Identity Center を有効にします。これは、IAM Identity Center がすべての でロールをプロビジョニング、プロビジョニング解除、更新するために必要です AWS アカウント。IAM アイデンティティセンターを有効にすると、 AWS リージョン 現在選択されている「プライマリリージョン」と呼ばれる にデプロイされます。特定の にデプロイする場合は AWS リージョン、IAM Identity Center を有効にする前にリージョンの選択を変更します。これは、IAM Identity Center を有効にした後にプライマリリージョンを変更できないためです。

IAM Identity Center は、ほとんどの管理関数をプライマリリージョンからのみサポートします。これには、外部 ID プロバイダーへの接続、ユーザーとグループの同期、ユーザーとグループに対するアクセス許可セットの作成と割り当てが含まれます。対照的に、アプリケーションとその割り当ての管理は、アプリケーションが作成された IAM アイデンティティセンターリージョンで行う必要があります。

IAM Identity Center はサービスを有効にしたリージョンからのアクセスを決定しますが、 AWS アカウント はグローバルです。つまり、ユーザーが IAM Identity Center にサインインすると、IAM Identity Center AWS アカウント 経由で にアクセスすると、どのリージョンでも操作できます。ただし、Amazon SageMaker AI などのほとんどの AWS マネージドアプリケーションは、ユーザーがこれらのアプリケーションへのアクセスを認証して割り当てるために、IAM Identity Center インスタンスのリージョンにインストールする必要があります。IAM Identity Center でアプリケーションを使用する場合のリージョンの制約については、アプリケーションのドキュメントと を参照してください複数の にまたがる AWS マネージドアプリケーションのデプロイと管理 AWS リージョン。

IAM Identity Center を使用して、アプリケーションが構築されているプラットフォームやクラウドに関係なく、パブリック URL を介して到達可能な SAML ベースのカスタマーマネージドアプリケーションへのアクセスを認証および認可することもできます。

復元性を実装する手段IAM アイデンティティセンターのアカウントインスタンスとして を使用することはお勧めしません。これは、 AWS アカウントアクセスをサポートしておらず、組織インスタンスに接続されていない 2 番目の独立したコントロールポイントを作成するためです。

可用性を考慮した設計

次の表は、IAM Identity Center が 1 つの AWS リージョンで実現するように設計されている可用性を示しています。これらの値は、サービスレベルアグリーメントや保証を表すものではなく、むしろソリューションの設計目標を示すものと考えてください。可用性のパーセンテージは、データまたは機能へのアクセス性の目安であり、耐久性 (データの長期保持など) を示す数値ではありません。