本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
容錯移轉至其他 區域以進行 AWS 帳戶 存取
透過 IAM Identity Center AWS 帳戶 存取的主題廣泛涵蓋在 中設定對 的存取 AWS 帳戶。本節提供在主要區域中發生服務中斷 AWS 區域 時,維護跨多個 AWS 帳戶 存取的其他詳細資訊。
如果您的 IAM Identity Center 執行個體在主要區域發生中斷,您的人力資源可以切換到其他區域,以繼續存取 AWS 帳戶和不受影響的應用程式。本節透過其他 區域的人力資源存取說明如何存取其他 AWS 存取入口網站 區域中的 。
我們建議您在完成 中的設定後,立即將其他區域中的 AWS 存取入口網站 端點和外部 IdP 設定 (例如其他區域的書籤應用程式) 傳達給員工將 IAM Identity Center 複寫至其他區域。這將使它們準備好在必要時容錯移轉到其他區域。
同樣地,我們建議 AWS CLI 使用者為主要區域擁有的每個AWS CLI 設定檔建立其他區域的設定檔。然後,如果主要區域中發生服務中斷,他們可以切換到該設定檔。
注意
對 AWS 帳戶的持續存取也取決於外部 IdP 的運作狀態和許可,例如在服務中斷之前佈建和複寫的許可集指派和群組成員資格。我們建議您的組織也設定AWS 中斷玻璃存取,以在外部 IdP 發生服務中斷時維持對一小群特殊權限使用者的 AWS 存取。 設定 的緊急存取 AWS 管理主控台 是避免使用 IAM 使用者的類似選項,但也取決於外部 IdP。
AWS 帳戶 在沒有多個 ACS URLs存取彈性
有些外部身分提供者 IdPs) 在其 IAM Identity Center 應用程式中不支援多個聲明消費者服務 (ACS) URLs。多個 ACS URLs 是直接登入多區域 IAM Identity Center 中特定區域所需的 SAML 功能。
若要讓使用者 AWS 帳戶 透過多個 IAM Identity Center 區域存取 ,您必須在外部 IdP 中設定個別的區域 ACS URLs。不過,如果外部 IdP 在其 IAM Identity Center 應用程式中僅支援單一 ACS URL,則使用者可以直接登入單一 IAM Identity Center 區域。
若要解決此問題,請與您的 IdP 廠商合作,以啟用多個 ACS URLs 的支援。同時,您可以使用其他區域做為 存取的備份 AWS 帳戶。
如果主要區域發生 IAM Identity Center 服務中斷,您必須使用其他區域的 ACS URL 更新外部 IdP 中的 ACS URL。在此更新之後,您的使用者可以使用外部 IdP 入口網站中現有的 IAM Identity Center 應用程式,或透過您與他們共用的直接連結,存取其他區域中的 AWS 存取入口網站。
我們建議您定期測試此設定,以確保它在需要時有效,並將此容錯移轉程序傳達給您的組織。
注意
在此設定 AWS 帳戶 中使用其他區域來存取 時,您的使用者可能無法存取連線至主要區域的 AWS 受管應用程式。因此,我們建議這僅做為維護存取權的暫時措施 AWS 帳戶。
