本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将 IAM 身份中心复制到其他区域
如果您的环境满足[先决条件](multi-region-iam-identity-center.md#multi-region-prerequisites),例如使用多区域客户托管的 KMS 密钥配置 IAM Identity Center,请完成以下步骤将您的 IAM Identity Center 实例复制到其他区域。在这些步骤期间和之后,您的主要区域将继续正常运行。
## 步骤 1:在其他区域创建副本密钥
在将 IAM Identity Center 复制到某个区域之前,您必须先在该区域创建客户托管 KMS 密钥的副本密钥,然后将副本密钥配置为 IAM Identity Center 操作所需的权限。有关创建多区域副本密钥的说明,请参阅[创建多区域副本](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-replicate.html)密钥。
KMS 密钥权限的推荐方法是从主密钥复制密钥策略,该策略授予的权限与已在主区域中为 IAM Identity Center 建立的权限相同。或者,您可以定义特定于区域的密钥策略,但这种方法会增加跨区域管理权限的复杂性,并且将来更新策略时可能需要额外的协调。
**注意**
AWS KMS 不会在您的多区域 KMS 密钥所在区域之间同步您的 KMS 密钥策略。要在 KMS 密钥区域之间保持 KMS 密钥策略同步,您需要在每个区域中单独应用更改。
## 步骤 2:在 IAM 身份中心添加区域
在 IAM Identity Center 中添加区域会触发 IAM 身份中心数据自动复制到该区域。复制是异步的,具有最终一致性。以下选项卡提供了在 AWS 管理控制台 和中执行此操作的说明 AWS CLI。
------
#### [ Console ]
**添加区域**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon/)。
1. 在导航窗格中,选择**设置**。
1. 选择**管理**选项卡。
1. 在 **IAM 身份中心的区域**部分,选择**添加区域**。
1. 在 “**AWS 区域 可供复制**” 部分中,选择您的首选 AWS 区域。如果该区域未出现在列表中,则该区域不可复制,因为 KMS 密钥尚未在列表中复制。有关更多信息,请参阅 [在中实现客户托管的 KMS 密钥 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。
1. 选择**添加区域**。
1. 在 **IAM 身份中心的区域**部分,监控区域状态。根据需要使用**刷新**按钮(圆形箭头)检查最新的区域状态。复制完成后,继续执行步骤 2。
------
#### [ AWS CLI ]
**添加区域**
```
aws sso-admin add-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
**查看当前区域状态**
```
aws sso-admin describe-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
当区域状态为 “活动” 时,您可以继续执行步骤 2。
------
初始复制到其他区域的持续时间取决于您的 IAM Identity Center 实例中的数据量。在大多数情况下,后续的增量更改将在几秒钟内复制。
## 步骤 3:更新外部 IdP 设置
按照外部 IdP 中的教程[IAM Identity Center 身份源教程](tutorials.md)进行以下步骤:
**步骤 3.a:将断言使用者服务 (ACS) URLs 添加到您的外部 IdP**
此步骤允许直接登录到其他每个区域,并且是允许登录部署在这些区域中的 AWS 托管应用程序以及通过这些区域访问所必需 AWS 账户的。要了解在哪里可以找到 ACS URLs,请参阅[主端点和附加端点中的 ACS 端点 AWS 区域](multi-region-workforce-access.md#acs-endpoints)。
**步骤 3.b(可选):在外部 IdP 门户中 AWS 访问门户 提供**
AWS 访问门户 在外部 IdP 门户中将其他区域中的作为书签应用程序提供。书签应用程序仅包含指向所需目的地的链接 (URL),类似于浏览器书签。 AWS 访问门户 URLs 在 **IAM 身份中心区域**部分选择**查看全部**,即可 AWS 访问门户 URLs在控制台中找到。有关更多信息,请参阅 [AWS 访问门户 主端点和其他端点 AWS 区域](multi-region-workforce-access.md#portal-endpoints)。
IAM Identity Center 在其他每个区域都支持 IDP 发起的 SAML SSO,但外部 IdPs通常仅使用一个 ACS URL 即可支持这一点。为了保持连续性,我们建议保留主区域的 ACS URL 用于 IDP 发起的 SAML SSO,并依靠书签应用程序和浏览器书签来访问其他区域。
## 步骤 4:确认防火墙和网关允许列表
[在防火墙或网关中查看您的域名许可名单,并根据记录的允许列表对其进行更新。](enable-identity-center-portal-access.md)
## 第 5 步:向您的用户提供信息
向您的用户提供有关新设置的信息,包括附加区域 AWS 访问门户 的 URL 以及如何使用其他区域。请查看以下章节以了解相关详细信息:
+ [通过其他地区访问员工](multi-region-workforce-access.md)
+ [故障转移到其他区域进行 AWS 账户 访问](multi-region-failover.md)
+ [跨多个 AWS 区域部署和管理应用程序](multi-region-application-use.md)
## 除了添加第一个区域之外,区域会发生变化
您可以添加和移除其他区域。除非删除整个 IAM 身份中心实例,否则无法移除主要区域。有关移除区域的更多信息,请参阅[从 IAM 身份中心移除区域](remove-region.md)。
您不能将其他区域提升为主区域,也不能将主要区域降级为额外区域。
## 复制了哪些数据?
IAM 身份中心复制以下数据:
| 数据 | 复制源和目标 |
| --- | --- |
| 员工身份(用户、群组、群组成员资格) | 从主要区域到其他区域 |
| 权限集及其对用户和组的分配 | 从主要区域到其他区域 |
| 配置(例如外部 IdP SAML 设置) | 从主要区域到其他区域 |
| 应用程序元数据以及对用户和群组的应用程序分配 | 从应用程序连接的 IAM 身份中心区域到其他已启用的区域 |
| 值得信赖的代币发行商 | 从主要区域到其他区域 |
| 会话 | 从会话的原始区域到其他已启用的区域 |
**注意**
IAM 身份中心不会复制存储在 AWS 托管应用程序中的数据。此外,它不会改变应用程序部署的区域覆盖范围。例如,如果您的 IAM 身份中心实例位于美国东部(弗吉尼亚北部),并且您在同一地区部署了 Amazon Redshift,则将 IAM 身份中心复制到美国西部(俄勒冈)不会影响 Amazon Redshift 的部署区域及其存储的数据。
**注意事项:**
+ **已启用区域的全球资源标识符**-用户、群组、权限集和其他资源在已启用的区域中具有相同的标识符。
+ **复制不会影响已配置的 IAM 角色**-从任何已启用的区域登录账户期间,将使用从权限集分配中配置的现有 IAM 角色。