本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 跨多个 IAM 身份中心使用 Amazon Web Services 区域
<a name="multi-region-iam-identity-center"></a>

 本主题说明了如何 Amazon IAM Identity Center 跨多个使用 Amazon Web Services 区域。了解如何在服务中断期间将您的实例复制到其他区域、管理员工访问权限和会话、部署应用程序以及在服务中断期间维护账户访问权限。

 启用 IAM Identity Center 的组织实例时，您可以选择一个 Amazon Web Services 区域 （主区域）。如果此实例满足某些先决条件， Amazon Web Services 区域 则可以将其复制到其他实例。IAM Identity Center 会自动将工作人员身份、权限集、用户和群组分配、会话和其他元数据从主要区域复制到选定的其他区域。

## 多区域支持的好处
<a name="multi-region-benefits"></a>

 将 IAM Identity Cen Amazon Web Services 区域 ter 复制到其他服务器有两个主要好处：
+  **提高了 Amazon Web Services 账户 访问弹性** — 即使 IAM Identity Amazon Web Services 账户 Center 实例在其主要区域遇到服务中断，您的员工也可以访问他们的。这适用于在中断之前预置权限的访问权限。
+  **提高了为 Amazon 托管应用程序选择部署区域的灵活性** — 您可以在首选区域部署 Amazon 托管应用程序，以满足应用程序数据驻留要求并通过靠近用户来提高性能。部署在其他地区的应用程序可在本地访问复制的员工身份，以实现最佳性能和可靠性。

## 先决条件和注意事项
<a name="multi-region-prerequisites"></a>

 在复制 IAM 身份中心实例之前，请确保满足以下要求：
+ **实例类型**-您的 IAM 身份中心实例必须是[组织实例](organization-instances-identity-center.md)。[账户实例](account-instances-identity-center.md)不提供多区域支持。
+ **身份来源**-您的 IAM 身份中心实例必须连接到外部身份提供商 (IdP)，例如。[https://www.okta.com/](https://www.okta.com/)多区域支持不适用于使用 A [ctive Directory](gs-ad.md) 或[身份中心目录](quick-start-default-idc.md)作为身份源的实例。
+ **Amazon 区域**-多区域支持适用于您的[Amazon Web Services 账户默认启用的商业区域](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)。目前不支持选择加入区域。
+ **用于静态加密的 KMS 密钥类型**-您的 IAM Identity Center 实例必须使用多区域[客户托管 KMS 密钥](https://docs.amazonaws.cn/kms/latest/cryptographic-details/basic-concepts.html)进行配置。KMS 密钥必须与 IAM 身份中心位于同一个 Amazon 账户中。有关更多信息，请参阅 [在中实现客户托管的 KMS 密钥 Amazon IAM Identity Center](identity-center-customer-managed-keys.md)。
+  **Amazon 托管应用程序兼容性**-访问中的应用程序表[Amazon 可与 IAM 身份中心配合使用的托管应用程序](awsapps-that-work-with-identity-center.md)，确认以下两个应用程序要求：
  +  您的组织正在使用的所有 Amazon 托管应用程序都必须支持使用客户托管 KMS 密钥配置的 IAM 身份中心。
  + 您要在其他区域部署的 Amazon 托管应用程序必须支持此类部署。
+ **外部 IdP 兼容性**-要充分利用多区域支持，外部 IdP 必须支持多断言消费者服务 (ACS)。 URLs这是Okta、、Microsoft Entra ID、 PingFederate和 IdPs JumpCloud等支持的 SAML 功能。 PingOne

  如果您使用不支持多个 ACS 的 IdP（例如） URLsGoogle Workspace，我们建议您与您的 IdP 供应商合作以启用此功能。有关在不使用多个 ACS 的情况下可用的选项 URLs，请参见[使用没有多个 ACS 的 Amazon 托管应用程序 URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和[Amazon Web Services 账户 无需多个 ACS 即可实现访问弹性 URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

## 选择其他区域
<a name="choosing-additional-region"></a>

 在默认启用的商业区域中选择其他区域时，请考虑以下因素：
+  **合规性要求**-如果出于合规性原因，您需要运行访问仅限于特定区域的数据集的 Amazon 托管应用程序，请选择数据集所在的区域。
+  **性能优化**-如果数据驻留不是一个因素，请选择离您的应用程序用户最近的区域来优化他们的体验。
+  **应用程序支持**-验证您所选的地区是否提供所需的 Amazon 应用程序。
+  **Amazon Web Services 账户 访问弹性** — 为了连续访问 Amazon Web Services 账户 s，请选择一个地理位置远离您的 IAM Identity Center 实例主区域的区域。

**注意**  
 IAM Identity Center 的数量有配额 Amazon Web Services 区域。有关更多信息，请参阅 [其他配额](limits.md#additionallimits)。