本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 跨多个 Amazon 区域部署和管理应用程序
<a name="multi-region-application-use"></a>

 中详细介绍了通过 IAM 身份中心访问应用程序的主题[配置对应用程序的访问](manage-your-applications.md)。本节提供了与跨多个应用程序的部署和管理相关的更多详细信息 Amazon Web Services 区域。

## 跨多个 Amazon 托管应用程序部署和管理托管应用程序 Amazon Web Services 区域
<a name="multi-region-aws-managed-applications"></a>

 使用单区域 IAM Identity Center 实例，您可以在与您的实例相同的区域部署 Amazon 托管应用程序。某些应用程序（例如 Amazon Q Business）支持与 IAM 身份中心的跨区域连接，如果有感兴趣的应用程序，则可以将其部署到 IAM 身份中心的区域之外。但是，跨区域调用可能会导致应用程序性能降低，而且大多数 Amazon 托管应用程序不支持这种类型的连接。

 多区域 IAM Identity Center 实例允许您在任何已启用的区域部署 Amazon 托管应用程序，并连接到同一区域的 IAM 身份中心（“区域本地连接”）。所有集成的 Amazon 托管应用程序都支持在主区域进行部署。要确认哪些 Amazon 托管应用程序支持在 IAM Identity Center 的其他区域进行部署，请参阅中的应用程序表[Amazon 可与 IAM 身份中心配合使用的托管应用程序](awsapps-that-work-with-identity-center.md)。无论如何， Amazon 托管应用程序必须在您要部署的区域中可用。

通过与 IAM Identity Center 的区域本地连接， Amazon 托管应用程序可以访问同一区域的员工身份，以获得最佳性能和可靠性。只要[满足先决条件](multi-region-iam-identity-center.md#multi-region-prerequisites)，我们建议在部署 Amazon 托管应用程序时选择区域本地连接。

 要在 IAM Identity Center 的其他区域部署 Amazon 托管应用程序，请通过应用程序控制台或 API 在该区域开始部署，方法与在主区域部署相同。

 **注意事项：**
+  如果您尚未将 IAM Identity Center 复制到该区域，我们建议您先执行此操作，以便可以立即完成应用程序部署。
+  Amazon 如果您已将 IAM Identity Center 复制到该区域，则在许多情况下，托管应用程序会自动建立区域本地连接。
+  如果 Amazon 托管应用程序提供到 IAM Identity Center 的跨区域连接，我们建议您选择区域本地连接，前提是[满足先决条件](multi-region-iam-identity-center.md#multi-region-prerequisites)。
+  如果应用程序不支持在其他区域部署，则可以在主区域部署该应用程序，前提是该应用程序在那里可用。

**重要**  
 如果您的 IAM Identity Center 实例是多区域的，则无论应用程序部署区域如何，您的组织使用的所有 Amazon 托管应用程序都必须支持使用客户管理的 KMS 密钥配置的 IAM Identity Center。在部署应用程序[Amazon 可与 IAM 身份中心配合使用的托管应用程序](awsapps-that-work-with-identity-center.md)之前和在您的 IAM 身份中心配置客户托管的 KMS 密钥之前，请在中确认这一点。

### 应用程序的管理区域
<a name="application-management-region"></a>

 使用区域本地连接在 IAM Identity Center 的其他区域部署 Amazon 托管应用程序后，您可以管理该应用程序及其对同一区域的用户和群组的分配。IAM Identity Center 复制应用程序元数据，包括分配给其他启用区域的用户和群组，以便您的员工可以从任何已启用的区域启动应用程序。

 如果您的 Amazon 托管应用程序使用与 IAM Identity Center 的跨区域连接，则可以在连接区域中通过 IAM Identity Center 控制台和 API 管理应用程序详细信息，例如名称和描述，以及向用户和群组分配的应用程序。无论连接类型如何，您都可以在其部署区域中通过其控制台管理应用程序。

### 可信身份传播
<a name="trusted-identity-propagation"></a>

 在您的 IAM Identity Center 实例的任何已启用区域中，您可以将可信身份传播与支持可信身份传播的 Amazon 托管应用程序结合使用。

所有相互传播身份上下文的应用程序都必须位于同一个区域。

### 应用程序对其连接的 IAM 身份中心区域的依赖性
<a name="application-resilience"></a>

 每个 Amazon 托管应用程序在部署期间都连接到特定的 IAM 身份中心区域。然后，即使您的 IAM 身份中心已在多个区域启用，应用程序也会依赖该区域进行用户登录。如果您的 IAM Identity Center 在该区域遇到中断，则用户可能无法访问连接到该地区的 Amazon 托管应用程序。

## 跨多个部署和管理客户托管的应用程序 Amazon Web Services 区域
<a name="multi-region-customer-managed-applications"></a>

 IAM 身份中心支持 SAML 和 OAuth2 [客户托管的应用程序](customermanagedapps.md)。您可以选择在您的 IAM Identity Center 实例的任何已启用区域中创建它们。创建应用程序后，您可以管理该应用程序及其对同一区域的用户和群组的分配。