本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨多个使用 IAM 身份中心 AWS 区域
本主题说明了如何 AWS IAM Identity Center 跨多个使用 AWS 区域。了解如何在服务中断期间将您的实例复制到其他区域、管理员工访问权限和会话、部署应用程序以及在服务中断期间维护账户访问权限。
启用 IAM Identity Center 的组织实例时,您可以选择一个 AWS 区域 (主区域)。如果此实例满足某些先决条件, AWS 区域 则可以将其复制到其他实例。IAM Identity Center 会自动将工作人员身份、权限集、用户和群组分配、会话和其他元数据从主要区域复制到选定的其他区域。
多区域支持的好处
将 IAM 身份中心复制到其他服务器 AWS 区域 可提供两个主要好处:
-
提高了 AWS 账户 访问弹性 — 即使 IAM Identity AWS 账户 Center 实例在其主要区域遇到服务中断,您的员工也可以访问他们的。这适用于在中断之前预置权限的访问权限。
-
提高了为 AWS 托管应用程序选择部署区域的灵活性 — 您可以在首选区域部署 AWS 托管应用程序,以满足应用程序数据驻留要求并通过靠近用户来提高性能。部署在其他地区的应用程序可在本地访问复制的员工身份,以实现最佳性能和可靠性。
先决条件和注意事项
在复制 IAM Identity Center 实例之前,请确保满足以下要求:
-
身份来源-您的 IAM 身份中心实例必须连接到外部身份提供商 (IdP),例如。Okta
Multi-Region 不支持使用 A ctive Directory 或身份中心目录作为身份源的实例。 -
AWS 区域- Multi-Region 支持适用于您的默认启用的商业区域 AWS 账户。 Opt-in 目前不支持区域。
-
用于静态加密的 KMS 密钥类型-您的 IAM Identity Center 实例必须使用多区域客户托管 KMS 密钥进行配置。KMS 密钥必须与 IAM 身份中心位于同一个 AWS 账户中。有关更多信息,请参阅 在中实现客户托管的 KMS 密钥 AWS IAM Identity Center。
-
AWS 托管应用程序兼容性-访问中的应用程序表AWS 可与 IAM 身份中心配合使用的托管应用程序,确认以下两个应用程序要求:
-
您的组织正在使用的所有 AWS 托管应用程序都必须支持使用客户托管 KMS 密钥配置的 IAM 身份中心。
-
您要在其他区域部署的 AWS 托管应用程序必须支持此类部署。
-
-
外部 IdP 兼容性-要充分利用多区域支持,外部 IdP 必须支持多断言消费者服务 (ACS) 网址。这是Okta、、Microsoft Entra ID、 PingFederate和 IdPs JumpCloud等支持的 SAML 功能。 PingOne
如果您使用的 IdP 不支持多个 ACS 网址(例如)Google Workspace,我们建议您与您的 IdP 供应商合作以启用此功能。有关不带多个 ACS URL 的可用选项,请参阅使用 AWS 没有多个 ACS URL 的托管应用程序和AWS 账户 无需多个 ACS URL 即可实现访问弹性。
选择其他区域
在默认启用的商业区域中选择其他区域时,请考虑以下因素:
-
合规性要求 — 如果出于合规性原因,您需要运行访问仅限于特定区域的数据集的 AWS 托管应用程序,请选择数据集所在的区域。
-
性能优化-如果数据驻留不是一个因素,请选择离您的应用程序用户最近的区域来优化他们的体验。
-
应用程序支持-验证您所选的地区是否提供所需的 AWS 应用程序。
-
AWS 账户 访问弹性 — 为了连续访问 AWS 账户 s,请选择一个地理位置远离您的 IAM Identity Center 实例主区域的区域。
注意
IAM 身份中心的数量有配额 AWS 区域。有关更多信息,请参阅 其他配额。