本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨多个 Amazon 区域部署和管理应用程序
中详细介绍了通过 IAM 身份中心访问应用程序的主题配置对应用程序的访问。本节提供了与跨多个应用程序的部署和管理相关的更多详细信息 Amazon Web Services 区域。
跨多个 Amazon 托管应用程序部署和管理托管应用程序 Amazon Web Services 区域
使用单区域 IAM Identity Center 实例,您可以在与您的实例相同的区域部署 Amazon 托管应用程序。某些应用程序(例如 Amazon Q Business)支持与 IAM 身份中心的跨区域连接,如果有感兴趣的应用程序,则可以将其部署到 IAM 身份中心的区域之外。但是,跨区域调用可能会导致应用程序性能降低,而且大多数 Amazon 托管应用程序不支持这种类型的连接。
多区域 IAM Identity Center 实例允许您在任何已启用的区域部署 Amazon 托管应用程序,并连接到同一区域的 IAM 身份中心(“区域本地连接”)。这要求 Amazon 托管应用程序在该区域可用,并支持在其他区域部署。通过与 IAM Identity Center 的区域本地连接, Amazon 托管应用程序可以访问同一区域的员工身份,以获得最佳性能和可靠性。只要满足先决条件,我们建议在部署 Amazon 托管应用程序时选择区域本地连接。
要在 IAM Identity Center 的其他区域部署 Amazon 托管应用程序,请通过应用程序控制台或 API 在该区域开始部署,方法与在主区域部署相同。
注意事项:
-
如果您尚未将 IAM Identity Center 复制到该区域,我们建议您先执行此操作,以便可以立即完成应用程序部署。
-
Amazon 如果您已将 IAM Identity Center 复制到该区域,则在许多情况下,托管应用程序会自动建立区域本地连接。
-
如果 Amazon 托管应用程序提供到 IAM Identity Center 的跨区域连接,我们建议您选择区域本地连接,前提是满足先决条件。
-
如果应用程序不支持在其他区域部署,则可以在主区域部署该应用程序,前提是该应用程序在那里可用。
重要
如果您的 IAM Identity Center 实例是多区域的,则无论应用程序部署区域如何,您的组织使用的所有 Amazon 托管应用程序都必须支持使用客户管理的 KMS 密钥配置的 IAM Identity Center。在部署应用程序Amazon 可与 IAM 身份中心配合使用的托管应用程序之前和在您的 IAM 身份中心配置客户托管的 KMS 密钥之前,请在中确认这一点。
应用程序的管理区域
使用区域本地连接在 IAM Identity Center 的其他区域部署 Amazon 托管应用程序后,您可以管理该应用程序及其对同一区域的用户和群组的分配。IAM Identity Center 复制应用程序元数据,包括分配给其他启用区域的用户和群组,以便您的员工可以从任何已启用的区域启动应用程序。
如果您的 Amazon 托管应用程序使用与 IAM Identity Center 的跨区域连接,则可以在连接区域中通过 IAM Identity Center 控制台和 API 管理应用程序详细信息,例如名称和描述,以及向用户和群组分配的应用程序。无论连接类型如何,您都可以在其部署区域中通过其控制台管理应用程序。
可信身份传播
在您的 IAM Identity Center 实例的任何已启用区域中,您可以将可信身份传播与支持可信身份传播的 Amazon 托管应用程序结合使用。
所有相互传播身份上下文的应用程序都必须位于同一个区域。
应用程序对其连接的 IAM 身份中心区域的依赖性
每个 Amazon 托管应用程序在部署期间都连接到特定的 IAM 身份中心区域。然后,即使您的 IAM 身份中心已在多个区域启用,应用程序也会依赖该区域进行用户登录。如果您的 IAM Identity Center 在该区域遇到中断,则用户可能无法访问连接到该地区的 Amazon 托管应用程序。
跨多个部署和管理客户托管的应用程序 Amazon Web Services 区域
IAM 身份中心支持 SAML 和。 OAuth2 客户托管的应用程序您可以选择在您的 IAM Identity Center 实例的任何已启用区域中创建它们。创建应用程序后,您可以管理该应用程序及其对同一区域的用户和群组的分配。