将 IAM 身份中心复制到其他区域 - Amazon IAM Identity Center
步骤 1:创建副本密钥步骤 2:添加区域步骤 3:更新外部 IdP 设置步骤 4:确认防火墙和网关允许列表第 5 步:向您的用户提供信息除了添加第一个区域之外,区域会发生变化复制了哪些数据?
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 IAM 身份中心复制到其他区域

如果您的环境满足先决条件,请按照以下步骤将您的 IAM Identity Center 实例复制到其他区域:

步骤 1:在其他区域创建副本密钥

在将 IAM Identity Center 复制到某个区域之前,您必须先在该区域创建客户托管 KMS 密钥的副本密钥,然后将副本密钥配置为 IAM Identity Center 操作所需的权限。有关创建多区域副本密钥的说明,请参阅创建多区域副本密钥。

KMS 密钥权限的推荐方法是从主密钥复制密钥策略,该策略授予的权限与已在主区域中为 IAM Identity Center 建立的权限相同。或者,您可以定义特定于区域的密钥策略,但这种方法会增加跨区域管理权限的复杂性,并且将来更新策略时可能需要额外的协调。

注意

Amazon KMS 不会在您的多区域 KMS 密钥所在区域之间同步您的 KMS 密钥策略。要在 KMS 密钥区域之间保持 KMS 密钥策略同步,您需要在每个区域中单独应用更改。

步骤 2:在 IAM 身份中心添加区域

在 IAM Identity Center 中添加区域会触发 IAM 身份中心数据自动和异步复制到该区域。以下是在和中执行此操作 Amazon Web Services 管理控制台 的说明 Amazon CLI

Console

添加区域

  1. 打开 IAM Identity Center 控制台

  2. 在导航窗格中,选择设置

  3. 选择管理选项卡。

  4. IAM 身份中心的区域部分,选择添加区域

  5. 在 “Amazon Web Services 区域 可供复制” 部分中,选择您的首选 Amazon Web Services 区域。如果该区域未出现在列表中,则该区域不可复制,因为 KMS 密钥尚未在列表中复制。有关更多信息,请参阅在 IAM 身份中心实现客户托管 KMS 密钥

  6. 选择添加区域

  7. IAM 身份中心的区域部分,监控区域状态。根据需要使用刷新按钮(圆形箭头)检查最新的区域状态。复制完成后,继续步骤 2。

Amazon CLI

添加区域 

aws sso-admin add-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

查看当前区域状态 

aws sso-admin describe-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

当区域状态为 “活动” 时,您可以继续执行步骤 2。

初始复制到其他区域的持续时间取决于您的 IAM Identity Center 实例中的数据量。在大多数情况下,后续的增量更改将在几秒钟内复制。

步骤 3:更新外部 IdP 设置

按照外部 IdP 中的教程IAM Identity Center 身份源教程进行以下步骤:

步骤 3.a:将断言使用者服务 (ACS) URLs 添加到您的外部 IdP

此步骤允许直接登录到其他每个区域,并且是允许登录部署在这些区域中的 Amazon 托管应用程序以及通过这些区域访问所必需 Amazon Web Services 账户的。要了解在哪里可以找到 ACS URLs,请参阅主端点和其他端点中的 ACS 端点 Amazon Web Services 区域

步骤 3.b(可选):在外部 IdP 门户中 Amazon Web Services 访问门户 提供

Amazon Web Services 访问门户 在外部 IdP 门户中将其他区域中的作为书签应用程序提供。书签应用程序仅包含指向所需目的地的链接 (URL),类似于浏览器书签。 Amazon Web Services 访问门户 URLs 在 IAM 身份中心区域部分选择查看全部,即可 Amazon Web Services 访问门户 URLs在控制台中找到。有关更多信息,请参阅 Amazon Web Services 访问门户 主端点和其他端点 Amazon Web Services 区域

IAM Identity Center 在其他每个区域都支持 IDP 发起的 SAML SSO,但外部 IdPs通常仅使用一个 ACS URL 即可支持这一点。为了保持连续性,我们建议保留主区域的 ACS URL 用于 IDP 发起的 SAML SSO,并依靠书签应用程序和浏览器书签来访问其他区域。

步骤 4:确认防火墙和网关允许列表

在防火墙或网关中查看您的域名许可名单,并根据记录的允许列表对其进行更新。

第 5 步:向您的用户提供信息

向您的用户提供有关新设置的信息,包括附加区域 Amazon Web Services 访问门户 的 URL 以及如何使用其他区域。请查看以下章节以了解相关详细信息:

除了添加第一个区域之外,区域会发生变化

您可以添加和删除其他区域。除非删除整个 IAM 身份中心实例,否则无法移除主要区域。有关移除区域的更多信息,请参阅从 IAM 身份中心移除区域

您不能将其他区域提升为主区域,也不能将主要区域降级为额外区域。

复制了哪些数据?

IAM 身份中心复制以下数据:

数据 复制源和目标
员工身份(用户、群组、群组成员资格) 从主要区域到其他区域
权限集及其对用户和组的分配 从主要区域到其他区域
配置(例如外部 IdP SAML 设置) 从主要区域到其他区域
应用程序元数据以及对用户和群组的应用程序分配 从应用程序连接的 IAM 身份中心区域到其他已启用的区域
值得信赖的代币发行商 从主要区域到其他区域
会话 从会话的原始区域到其他已启用的区域
注意

IAM 身份中心不会复制存储在 Amazon 托管应用程序中的数据。此外,它不会改变应用程序部署的区域覆盖范围。例如,如果您的 IAM 身份中心实例位于美国东部(弗吉尼亚北部),并且您在同一地区部署了 Amazon Redshift,则将 IAM 身份中心复制到美国西部(俄勒冈)不会影响 Amazon Redshift 的部署区域及其存储的数据。

注意事项:

  • 已启用区域的全球资源标识符-用户、群组、权限集和其他资源在已启用的区域中具有相同的标识符。

  • 复制不会影响已配置的 IAM 角色-从任何已启用的区域登录账户期间,将使用从权限集分配中配置的现有 IAM 角色。

  • 复制不会产生 KMS 使用费-将数据复制到其他区域不会产生 KMS 使用费。