將 IAM Identity Center 複寫至其他區域 - AWS IAM Identity Center
步驟 1:建立複本金鑰步驟 2:新增區域步驟 3:更新外部 IdP 設定步驟 4:確認防火牆和閘道允許清單步驟 5:提供資訊給您的使用者新增第一個區域以外的區域變更複寫了哪些資料?

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 IAM Identity Center 複寫至其他區域

如果您的環境符合先決條件,請依照下列步驟將 IAM Identity Center 執行個體複寫至其他區域:

步驟 1:在其他區域中建立複本金鑰

將 IAM Identity Center 複寫到某個區域之前,您必須先在該區域中建立客戶受管 KMS 金鑰的複本金鑰,並使用 IAM Identity Center 操作所需的許可來設定複本金鑰。如需建立多區域複本金鑰的指示,請參閱建立多區域複本金鑰

KMS 金鑰許可的建議方法是從主要金鑰複製金鑰政策,這會授予主要區域中已為 IAM Identity Center 建立的相同許可。或者,您可以定義區域特定的金鑰政策,雖然此方法會增加跨區域管理許可的複雜性,而且未來更新政策時可能需要額外的協調。

注意

AWS KMS 不會同步多區域 KMS 金鑰跨區域的 KMS 金鑰政策。若要讓 KMS 金鑰政策跨 KMS 金鑰區域保持同步,您需要在每個區域中個別套用變更。

步驟 2:在 IAM Identity Center 中新增區域

在 IAM Identity Center 中新增區域會觸發自動和非同步複寫 IAM Identity Center 資料至該區域。以下是在 AWS 管理主控台 和 中執行此操作的指示 AWS CLI

Console

新增區域

  1. 開啟 IAM Identity Center 主控台

  2. 在導覽窗格中,選擇設定

  3. 選擇 Management (管理) 標籤,

  4. IAM Identity Center 的區域區段中,選擇新增區域

  5. AWS 區域 可用於複寫的 區段中,選擇您偏好的 AWS 區域。如果區域未出現在清單中,則無法複寫,因為 KMS 金鑰尚未複寫。如需詳細資訊,請參閱在 IAM Identity Center 中實作客戶受管 KMS 金鑰

  6. 選擇新增區域

  7. IAM Identity Center 的區域區段中,監控區域狀態。視需要使用重新整理按鈕 (圓形箭頭) 檢查最新的區域狀態。複寫完成後,請繼續步驟 2。

AWS CLI

新增區域 

aws sso-admin add-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

檢查目前區域狀態 

aws sso-admin describe-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

當區域狀態為 ACTIVE 時,您可以繼續進行步驟 2。

初始複寫至其他區域的持續時間取決於 IAM Identity Center 執行個體中的資料量。在大多數情況下,後續增量變更會在幾秒內複寫。

步驟 3:更新外部 IdP 設定

請遵循 中外部 IdP 的教學IAM Identity Center 身分來源教學課程課程進行下列步驟:

步驟 3.a:將宣告消費者服務 (ACS) URLs 新增至外部 IdP

此步驟會啟用每個額外區域的直接登入,並且需要啟用在這些區域中部署的 AWS 受管應用程式的登入,以及 AWS 帳戶透過這些區域存取 。若要了解在何處尋找 ACS URLs,請參閱 主要和其他 中的 ACS 端點 AWS 區域

步驟 3.b (選用):在外部 IdP 入口網站 AWS 存取入口網站 中提供

在外部 IdP 入口網站 AWS 存取入口網站 中,將其他區域中的 設為書籤應用程式。書籤應用程式僅包含所需目的地的連結 (URL),類似於瀏覽器書籤。您可以在 IAM Identity Center 區域區段中選擇檢視 allURL, AWS 存取入口網站 URLs 以在 主控台中找到 URL。 AWS 存取入口網站 URLs 如需詳細資訊,請參閱AWS 存取入口網站 主要和額外 中的 端點 AWS 區域

IAM Identity Center 在每個額外的區域中支援 IdP 起始的 SAML SSO,但外部 IdPs 通常僅支援單一 ACS URL。為了持續性,我們建議讓主要區域的 ACS URL 用於 IdP 起始的 SAML SSO,並依賴書籤應用程式和瀏覽器書籤來存取其他區域。

步驟 4:確認防火牆和閘道允許清單

在防火牆或閘道中檢閱您的網域允許清單,並根據記錄的允許清單進行更新。

步驟 5:提供資訊給您的使用者

為您的使用者提供有關新設定的資訊,包括其他區域中的 AWS 存取入口網站 URL,以及如何使用其他區域。如需相關詳細資訊,請參閱下列各節:

新增第一個區域以外的區域變更

您可以新增和移除其他區域。除了刪除整個 IAM Identity Center 執行個體之外,無法移除主要區域。如需移除區域的詳細資訊,請參閱 從 IAM Identity Center 移除區域

您無法將其他區域提升為主要區域,或將主要區域降級為其他區域。

複寫了哪些資料?

IAM Identity Center 會複寫下列資料:

資料 複寫來源和目標
人力身分 (使用者、群組、群組成員資格) 從主要區域到其他區域
許可集及其對使用者和群組的指派 從主要區域到其他區域
組態 (例如外部 IdP SAML 設定) 從主要區域到其他區域
使用者和群組的應用程式中繼資料和應用程式指派 從應用程式的連線 IAM Identity Center 區域到其他已啟用的區域
信任的字符發行者 從主要區域到其他區域
工作階段 從工作階段的原始區域到其他已啟用的區域
注意

IAM Identity Center 不會複寫存放在 AWS 受管應用程式中的資料。此外,它不會變更應用程式部署的區域足跡。例如,如果您在美國東部 (維吉尼亞北部) 的 IAM Identity Center 執行個體,且您已在相同區域中部署 Amazon Redshift,則將 IAM Identity Center 複寫至美國西部 (奧勒岡) 不會影響 Amazon Redshift 的部署區域及其存放的資料。

考量:

  • 啟用區域之間的全域資源識別符 - 使用者、群組、許可集和其他資源在啟用的區域具有相同的識別符。

  • 複寫不會影響佈建的 IAM 角色 - 從許可集指派佈建的現有 IAM 角色,會在任何已啟用區域的帳戶登入期間使用。

  • 複寫不會產生 KMS 使用費 - 將資料複寫到其他區域不會產生 KMS 使用費。