本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨多个使用 IAM 身份中心 Amazon Web Services 区域
本主题说明了如何 Amazon IAM Identity Center 跨多个使用 Amazon Web Services 区域。了解如何在服务中断期间将您的实例复制到其他区域、管理员工访问权限和会话、部署应用程序以及在服务中断期间维护账户访问权限。
启用 IAM Identity Center 的组织实例时,您可以选择一个 Amazon Web Services 区域 (主区域)。如果此实例满足某些先决条件, Amazon Web Services 区域 则可以将其复制到其他实例。IAM Identity Center 会自动将工作人员身份、权限集、用户和群组分配、会话和其他元数据从主要区域复制到选定的其他区域。
多区域支持的好处
将 IAM Identity Cen Amazon Web Services 区域 ter 复制到其他服务器有两个主要好处:
-
提高了 Amazon Web Services 账户 访问弹性 — 即使 IAM Identity Amazon Web Services 账户 Center 实例在其主要区域遇到服务中断,您的员工也可以访问他们的。这适用于在中断之前预置权限的访问权限。
-
提高了为 Amazon 托管应用程序选择部署区域的灵活性 — 您可以在首选区域部署 Amazon 托管应用程序,以满足应用程序数据驻留要求并通过靠近用户来提高性能。部署在其他地区的应用程序可在本地访问复制的员工身份,以实现最佳性能和可靠性。
先决条件和注意事项
在复制 IAM Identity Center 实例之前,请确保满足以下要求:
-
身份来源-您的 IAM 身份中心实例必须连接到外部身份提供商 (IdP),例如。Okta
多区域支持不适用于使用 A ctive Directory 或身份中心目录作为身份源的实例。 -
Amazon 区域-多区域支持适用于您的Amazon Web Services 账户默认启用的商业区域。目前不支持选择加入区域。
-
用于静态加密的 KMS 密钥类型-您的 IAM Identity Center 实例必须使用多区域客户托管 KMS 密钥进行配置。KMS 密钥必须与 IAM 身份中心位于同一个 Amazon 账户中。有关更多信息,请参阅 在中实现客户托管的 KMS 密钥 Amazon IAM Identity Center。
-
Amazon 托管应用程序兼容性-访问中的应用程序表Amazon 可与 IAM 身份中心配合使用的托管应用程序,确认以下两个应用程序要求:
-
您的组织正在使用的所有 Amazon 托管应用程序都必须支持使用客户托管 KMS 密钥配置的 IAM 身份中心。
-
您要在其他区域部署的 Amazon 托管应用程序必须支持此类部署。
-
-
外部 IdP 兼容性-要充分利用多区域支持,外部 IdP 必须支持多断言消费者服务 (ACS)。 URLs这是一项 SAML 功能,由Okta、、Microsoft Entra ID PingFederate PingOne、和 IdPs JumpCloud等支持。
如果您使用不支持多个 ACS 的 IdP(例如) URLsGoogle Workspace,我们建议您与您的 IdP 供应商合作以启用此功能。有关在不使用多个 ACS 的情况下可用的选项 URLs,请参见使用不带多个 ACS 的 Amazon 托管应用程序 URLs和Amazon Web Services 账户 无需多个 ACS 即可实现访问弹性 URLs。
选择其他区域
在默认启用的商业区域中选择其他区域时,请考虑以下因素:
-
合规性要求 — 如果出于合规性原因,您需要运行访问仅限于特定区域的数据集的 Amazon 托管应用程序,请选择数据集所在的区域。
-
性能优化-如果数据驻留不是一个因素,请选择离您的应用程序用户最近的区域来优化他们的体验。
-
应用程序支持-验证您所选的地区是否提供所需的 Amazon 应用程序。
-
Amazon Web Services 账户 访问弹性 — 为了连续访问 Amazon Web Services 账户 s,请选择一个地理位置远离您的 IAM Identity Center 实例主区域的区域。
注意
IAM 身份中心的数量有配额 Amazon Web Services 区域。有关更多信息,请参阅 其他配额。