本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
故障转移到其他区域进行 Amazon Web Services 账户 访问
中详细介绍了通过 IAM 身份中心进行 Amazon Web Services 账户 访问的主题配置访问权限 Amazon Web Services 账户。本节提供了有关在主区域服务 Amazon Web Services 区域 中断时保持多个区域 Amazon Web Services 账户 访问权限的更多详细信息。
如果您的 IAM Identity Center 实例在主区域中出现中断,则您的员工可以切换到其他区域继续访问 Amazon Web Services 账户和未受影响的应用程序。本节通过其他地区访问员工说明了如何在其他区域 Amazon Web Services 访问门户 中访问。
我们建议您在中完成设置后,立即将其他地区的 Amazon Web Services 访问门户 终端节点和外部 IdP 设置(例如其他地区的书签应用程序)传达给员工。将 IAM 身份中心复制到其他区域这将使他们能够在需要时为故障转移到其他区域做好准备。
同样,我们建议 Amazon CLI 用户为其拥有的主区域的每个配置文件创建Amazon CLI 其他区域的配置文件。然后,如果主区域出现服务中断,他们可以切换到该配置文件。
注意
访问 Amazon Web Services 账户的连续性还取决于外部 IdP 的运行状况以及在服务中断之前配置和复制的权限(例如权限集分配和群组成员资格)。我们建议您的组织还设置漏洞访问权限,以便在外部 IdP 服务中Amazon 断时保持对一小部分特权用户的 Amazon 访问权限。 设置紧急访问权限 Amazon Web Services 管理控制台是避免使用 IAM 用户的类似选项,但它也取决于外部 IdP。
Amazon Web Services 账户 无需多个 ACS 即可实现访问弹性 URLs
一些外部身份提供商 (IdPs) URLs 在其 IAM Identity Center 应用程序中不支持多重断言消费者服务 (ACS)。多 URLs 个 ACS 是一项 SAML 功能,需要在多区域 IAM 身份中心中直接登录特定区域。
要让您的用户能够 Amazon Web Services 账户 通过多个 IAM 身份中心区域访问他们的区域,您必须在外部 IdP URLs 中配置相应的区域 ACS。但是,如果外部 IdP 在其 IAM 身份中心应用程序中仅支持单个 ACS URL,则用户可以直接登录单个 IAM 身份中心区域。
要解决此问题,请与您的 IdP 供应商合作,启用对多个 ACS 的支持。 URLs同时,您可以使用其他区域作为访问的备份 Amazon Web Services 账户。
如果主区域发生 IAM 身份中心服务中断,则必须使用其他区域的 ACS URL 更新外部 IdP 中的 ACS 网址。更新后,您的用户可以使用外部 IdP 门户中的现有 IAM Identity Center 应用程序或通过您与他们共享的直接链接 Amazon Web Services 访问其他区域的访问门户。
我们建议您定期测试此设置,以确保它在需要时起作用,并将此故障转移过程传达给您的组织。
注意
在此设置 Amazon Web Services 账户 中使用其他区域进行访问时,您的用户可能无法访问连接到主区域的 Amazon 托管应用程序。因此,我们建议仅将其作为维持访问权限的临时措施 Amazon Web Services 账户。