本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 將 IAM Identity Center 複寫至其他區域
如果您的環境符合[先決條件](multi-region-iam-identity-center.md#multi-region-prerequisites),例如使用多區域客戶受管 KMS 金鑰設定 IAM Identity Center,請完成下列步驟,將 IAM Identity Center 執行個體複寫至其他區域。在這些步驟期間和之後,您的主要區域會繼續正常運作。
## 步驟 1:在其他區域中建立複本金鑰
將 IAM Identity Center 複寫到區域之前,您必須先在該區域中建立客戶受管 KMS 金鑰的複本金鑰,並使用 IAM Identity Center 操作所需的許可來設定複本金鑰。如需建立多區域複本金鑰的說明,請參閱[建立多區域複本金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-replicate.html)。
KMS 金鑰許可的建議方法是從主要金鑰複製金鑰政策,這會授予在主要區域中為 IAM Identity Center 建立的相同許可。或者,您可以定義區域特定的金鑰政策,雖然此方法會增加跨區域管理許可的複雜性,而且未來更新政策時可能需要額外的協調。
**注意**
AWS KMS 不會同步多區域 KMS 金鑰跨區域的 KMS 金鑰政策。若要讓 KMS 金鑰政策跨 KMS 金鑰區域保持同步,您需要個別在每個區域中套用變更。
## 步驟 2:在 IAM Identity Center 中新增區域
在 IAM Identity Center 中新增區域會觸發 IAM Identity Center 資料的自動複寫至該區域。複寫與最終一致性是非同步的。下列索引標籤提供在 AWS 管理主控台 和 中執行此操作的說明 AWS CLI。
------
#### [ Console ]
**新增區域**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon/)。
1. 在導覽窗格中,選擇**設定**。
1. 選擇 **Management** (管理) 標籤,
1. 在 **IAM Identity Center 的區域**區段中,選擇**新增區域**。
1. 在**AWS 區域 可用於複寫**的 區段中,選擇您偏好的 AWS 區域。如果 區域未出現在清單中,則無法複寫,因為 KMS 金鑰尚未複寫。如需詳細資訊,請參閱[在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。
1. 選擇**新增區域**。
1. 在 **IAM Identity Center 的區域**區段中,監控區域狀態。視需要使用**重新整理**按鈕 (圓形箭頭) 檢查最新的區域狀態。複寫完成後,請繼續步驟 2。
------
#### [ AWS CLI ]
**新增區域**
```
aws sso-admin add-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
**檢查目前區域狀態**
```
aws sso-admin describe-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
當區域狀態為 ACTIVE 時,您可以繼續進行步驟 2。
------
初始複寫至其他區域的持續時間取決於 IAM Identity Center 執行個體中的資料量。在大多數情況下,後續增量變更會在幾秒內複寫。
## 步驟 3:更新外部 IdP 設定
請遵循 中外部 IdP 的教學[IAM Identity Center 身分來源教學課程](tutorials.md)課程進行下列步驟:
**步驟 3.a:將宣告消費者服務 (ACS) URLs 新增至外部 IdP**
此步驟會啟用每個額外區域的直接登入,並且需要啟用在這些區域中部署的 AWS 受管應用程式的登入,以及 AWS 帳戶透過這些區域存取 。若要了解在何處尋找 ACS URLs,請參閱 [主要和其他 中的 ACS 端點 AWS 區域](multi-region-workforce-access.md#acs-endpoints)。
**步驟 3.b (選用):在外部 IdP 入口網站 AWS 存取入口網站 中提供**
在外部 IdP 入口網站 AWS 存取入口網站 中,將其他區域中的 設為書籤應用程式。書籤應用程式僅包含所需目的地的連結 (URL),類似於瀏覽器書籤。您可以在 **IAM Identity Center 區域**區段中選擇檢視 allURL, AWS 存取入口網站 URLs 以在 主控台中找到 URL。 ** AWS 存取入口網站 URLs** 如需詳細資訊,請參閱[AWS 存取入口網站 主要和額外 中的 端點 AWS 區域](multi-region-workforce-access.md#portal-endpoints)。
IAM Identity Center 在每個額外的區域中支援 IdP 起始的 SAML SSO,但外部 IdPs 通常僅支援單一 ACS URL。為了持續性,我們建議讓主要區域的 ACS URL 用於 IdP 起始的 SAML SSO,並依賴書籤應用程式和瀏覽器書籤來存取其他區域。
## 步驟 4:確認防火牆和閘道允許清單
在防火牆或閘道中檢閱您的網域允許清單,並根據[記錄的允許清單](enable-identity-center-portal-access.md)進行更新。
## 步驟 5:提供資訊給您的使用者
為您的使用者提供有關新設定的資訊,包括其他區域中的 AWS 存取入口網站 URL,以及如何使用其他區域。如需相關詳細資訊,請參閱下列各節:
+ [透過其他 區域的人力資源存取](multi-region-workforce-access.md)
+ [容錯移轉至其他 區域以進行 AWS 帳戶 存取](multi-region-failover.md)
+ [跨多個 AWS 區域部署和管理應用程式](multi-region-application-use.md)
## 新增第一個區域以外的區域變更
您可以新增和移除其他區域。除了刪除整個 IAM Identity Center 執行個體之外,無法移除主要區域。如需移除區域的詳細資訊,請參閱 [從 IAM Identity Center 移除區域](remove-region.md)。
您無法將其他區域提升為主要區域,或將主要區域降級為其他區域。
## 複寫哪些資料?
IAM Identity Center 會複寫下列資料:
| 資料 | 複寫來源和目標 |
| --- | --- |
| 人力身分 (使用者、群組、群組成員資格) | 從主要區域到其他區域 |
| 許可集及其對使用者和群組的指派 | 從主要區域到其他區域 |
| 組態 (例如外部 IdP SAML 設定) | 從主要區域到其他區域 |
| 使用者和群組的應用程式中繼資料和應用程式指派 | 從應用程式的連線 IAM Identity Center 區域到其他已啟用的區域 |
| 受信任權杖發行者 | 從主要區域到其他區域 |
| 工作階段 | 從工作階段的原始區域到其他已啟用的區域 |
**注意**
IAM Identity Center 不會複寫存放在 AWS 受管應用程式中的資料。此外,它不會變更應用程式部署的區域足跡。例如,如果您在美國東部 (維吉尼亞北部) 的 IAM Identity Center 執行個體,且您已在相同區域中部署 Amazon Redshift,則將 IAM Identity Center 複寫至美國西部 (奧勒岡) 不會影響 Amazon Redshift 的部署區域及其存放的資料。
**考量:**
+ **跨已啟用區域的全域資源識別符** - 使用者、群組、許可集和其他資源在已啟用的區域具有相同的識別符。
+ **複寫不會影響佈建的 IAM 角色** - 從許可集指派佈建的現有 IAM 角色,會在任何已啟用區域的帳戶登入期間使用。