Amazon Identity and Access Management 中的故障恢复能力

Amazon全球基础设施围绕Amazon区域和可用区构建。Amazon区域有多个在物理上独立且隔离的可用区，这些可用区通过延迟低、吞吐量高且冗余性高的网络连接在一起。有关 Amazon 区域和可用区的更多信息，请参阅 Amazon 全球基础设施。

Amazon Identity and Access Management（IAM）和 Amazon Security Token Service（Amazon STS）是可自我维持、基于区域的服务，可在全球范围内使用。

IAM 是一种非常关键的 Amazon Web Service。在 Amazon 中执行的每项操作必须由 IAM 进行身份验证和授权。IAM 根据存储在 IAM 中的身份和策略检查每个请求，以确定是允许还是拒绝请求。IAM 的设计采用了单独的控制面板和数据面板，这样，即使在意外故障期间，服务也能进行身份验证。授权中使用的 IAM 资源（如角色和策略）存储在控制面板中。IAM 客户可以通过使用 DeletePolicy 和 AttachRolePolicy 等 IAM 操作来更改这些资源的配置。这些配置更改请求将发送到控制面板。所有商业 Amazon Web Services 区域 都有一个 IAM 控制面板，位于美国东部（弗吉尼亚州北部）区域。随后，IAM 系统会在每个已启用的 Amazon Web Services 区域中将配置更改传播到 IAM 数据面板。IAM 数据面板本质上是 IAM 控制面板配置数据的只读副本。每个 Amazon Web Services 区域 都有一个完全独立的 IAM 数据面板实例，该实例对来自同一区域的请求执行身份验证和授权。在每个区域中，IAM 数据面板至少分布在三个可用区中，并且具有足够的容量来容忍可用区丢失而不会对客户造成任何损害。IAM 控制面板和数据面板都是为零停机时间而构建，所有软件更新和扩展操作均以对客户不可见的方式执行。

Amazon STS默认情况下，总是将 请求将转到单个全局端点。但是，您可以选择使用区域 Amazon STS 端点来减少延迟或为应用程序提供额外冗余。要了解更多信息，请参阅 在 Amazon Web Services 区域 中管理 Amazon STS。

某些事件可能会中断 Amazon Web Services 区域 之间的网络通信。但是，即使您无法与全局 IAM 端点进行通信，Amazon STS 仍然可以对 IAM 主体进行身份验证，并且 IAM 可以授权您的请求。中断通信的事件的具体详细信息将决定您访问 Amazon 服务的能力。在大多数情况下，您可继续在 Amazon 环境中使用 IAM 凭证。以下情况可能适用于中断通信的事件。

IAM 恢复能力的最佳实践

Amazon 已将恢复能力内置于 Amazon Web Services 区域 和可用区。若您在与您的环境交互的系统中观察到有以下 IAM 最佳实践，您就可以利用这种恢复能力。