Replique o IAM Identity Center para uma região adicional - Centro de Identidade do AWS IAM
Etapa 1: criar uma chave de réplicaEtapa 2: Adicionar a regiãoEtapa 3: atualizar a configuração do IdP externoEtapa 4: Confirme as listas de permissões do firewall e do gatewayEtapa 5: fornecer informações aos seus usuáriosA região muda além da adição da primeira regiãoQuais dados são replicados?

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Replique o IAM Identity Center para uma região adicional

Se seu ambiente atender aos pré-requisitos, siga as etapas abaixo para replicar sua instância do IAM Identity Center em uma região adicional:

Etapa 1: criar uma chave de réplica na região adicional

Antes de replicar o IAM Identity Center em uma região, você deve primeiro criar uma chave de réplica da chave KMS gerenciada pelo cliente nessa região e configurar a chave de réplica com as permissões necessárias para as operações do IAM Identity Center. Para obter instruções sobre como criar chaves de réplica em várias regiões, consulte Criar chaves de réplica em várias regiões.

A abordagem recomendada para as permissões de chave do KMS é copiar a política de chaves da chave primária, o que concede as mesmas permissões já estabelecidas para o IAM Identity Center na região primária. Como alternativa, você pode definir políticas de chave específicas para cada região, embora essa abordagem aumente a complexidade do gerenciamento de permissões entre regiões e possa exigir coordenação adicional ao atualizar políticas no futuro.

nota

AWS KMS não sincroniza sua política de chaves KMS entre as regiões de sua chave KMS multirregional. Para manter a política de chaves do KMS sincronizada entre as principais regiões do KMS, você precisará aplicar as alterações em cada região individualmente.

Etapa 2: adicionar a região no IAM Identity Center

Adicionar uma região ao IAM Identity Center aciona a replicação automática e assíncrona dos dados do IAM Identity Center para essa região. Abaixo estão as instruções para fazer isso no Console de gerenciamento da AWS e AWS CLI

Console

Para adicionar uma região

  1. Abra o console do IAM Identity Center.

  2. No painel de navegação, selecione Configurações.

  3. Escolha a guia Gerenciamento.

  4. Na seção Regiões para o IAM Identity Center, escolha Adicionar região.

  5. Na seção Regiões da AWS disponível para replicação, escolha sua preferência Região da AWS. Se a região não aparecer na lista, ela não estará disponível para replicação porque a chave KMS não foi replicada lá. Para obter mais informações, consulte Implementação de chaves KMS gerenciadas pelo cliente no IAM Identity Center.

  6. Selecione Adicionar região.

  7. Na seção Regiões do IAM Identity Center, monitore o status da região. Use o botão Atualizar (seta circular) para verificar o status mais recente da região, conforme necessário. Depois que a replicação for concluída, vá para a Etapa 2.

AWS CLI

Para adicionar uma região 

aws sso-admin add-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

Para verificar o status atual da região 

aws sso-admin describe-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

Quando o status da Região for ATIVO, você poderá prosseguir para a Etapa 2.

A duração da replicação inicial para uma região adicional depende da quantidade de dados na sua instância do IAM Identity Center. Na maioria dos casos, as alterações incrementais subsequentes são replicadas em segundos.

Etapa 3: atualizar a configuração do IdP externo

Siga o tutorial do seu IdP externo Tutoriais sobre fontes de identidade do IAM Identity Center para seguir as seguintes etapas:

Etapa 3.a: Adicionar o Assertion Consumer Service (ACS) URLs ao seu IdP externo

Essa etapa permite o login direto em cada região adicional e é necessária para permitir o login em aplicativos AWS gerenciados implantados nessas regiões e para Conta da AWS acesso a s por meio dessas regiões. Para saber onde encontrar o ACS URLs, consulteEndpoints ACS no primário e adicional Regiões da AWS.

Etapa 3.b (opcional): Portal de acesso da AWS disponibilizar o no portal externo do IdP

Portal de acesso da AWS Disponibilize o na região adicional como um aplicativo de favoritos no portal externo do IdP. Os aplicativos de favoritos contêm apenas um link (URL) para o destino desejado e são semelhantes a um marcador do navegador. Você pode encontrá-las Portal de acesso da AWS URLs no console escolhendo Exibir tudo Portal de acesso da AWS URLs na seção Regiões do IAM Identity Center. Para obter mais informações, consulte Portal de acesso da AWS endpoints no primário e adicional Regiões da AWS.

O IAM Identity Center é compatível com SAML SSO iniciado pelo IdP em cada região adicional, mas os externos IdPs normalmente oferecem suporte a isso com apenas uma única URL do ACS. Para continuidade, recomendamos manter o URL do ACS da região principal em uso para o SAML SSO iniciado pelo IdP e confiar nos aplicativos de favoritos e nos favoritos do navegador para acessar regiões adicionais.

Etapa 4: Confirme as listas de permissões do firewall e do gateway

Revise suas listas de permissões de domínio em firewalls ou gateways e atualize-as com base nas listas de permissões documentadas.

Etapa 5: fornecer informações aos seus usuários

Forneça aos usuários informações sobre a nova configuração, incluindo o Portal de acesso da AWS URL na região adicional e como usar as regiões adicionais. Consulte as seções a seguir para obter detalhes relevantes:

A região muda além da adição da primeira região

Você pode adicionar e remover regiões adicionais. A região primária não pode ser removida a não ser excluindo toda a instância do IAM Identity Center. Para obter mais informações sobre como remover uma região, consulteRemover uma região do IAM Identity Center.

Você não pode promover uma região adicional como principal nem rebaixar a região primária como adicional.

Quais dados são replicados?

O IAM Identity Center replica os seguintes dados:

Dados Origem e destino da replicação
Identidades da força de trabalho (usuários, grupos, associações a grupos) Da região primária às regiões adicionais
Conjuntos de permissões e suas atribuições a usuários e grupos Da região primária às regiões adicionais
Configuração (como configurações SAML de IdP externo) Da região primária às regiões adicionais
Metadados de aplicativos e atribuições de aplicativos para usuários e grupos Da região do centro de identidade do IAM conectada de um aplicativo às outras regiões habilitadas
Emissores de tokens confiáveis Da região primária às regiões adicionais
Sessões Da região de origem da sessão para as outras regiões habilitadas
nota

O IAM Identity Center não replica dados armazenados em aplicativos AWS gerenciados. Além disso, isso não altera a abrangência regional da implantação de um aplicativo. Por exemplo, se sua instância do IAM Identity Center estiver no Leste dos EUA (Norte da Virgínia) e você tiver o Amazon Redshift implantado na mesma região, a replicação do IAM Identity Center para o Oeste dos EUA (Oregon) não afetará a região de implantação do Amazon Redshift e os dados que ele armazena.

Considerações:

  • Identificadores globais de recursos em todas as regiões habilitadas - usuários, grupos, conjuntos de permissões e outros recursos têm os mesmos identificadores em todas as regiões habilitadas.

  • A replicação não afeta as funções provisionadas do IAM — as funções existentes do IAM provisionadas a partir de atribuições de conjuntos de permissões são usadas durante o login da conta em qualquer região habilitada.

  • A replicação não incorre em cobranças de uso do KMS - a replicação de dados para uma região adicional não gera cobrança de uso do KMS.