本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
弹性设计和区域行为
IAM 身份中心服务是完全托管的,使用高度可用和持久的 Amazon 服务,例如 Amazon S3 和 Amazon EC2。为了确保发生可用区中断时的可用性,IAM Identity Center 跨多个可用区运行。
您可以在 Amazon Organizations 管理账户中启用 IAM 身份中心。这是必需的,以便 IAM Identity Center 可以在您的所有 Amazon Web Services 账户中配置、取消配置和更新角色。启用 IAM Identity Center 时 Amazon Web Services 区域 ,它会部署到当前选定的。如果您想要部署到特定的 Amazon Web Services 区域,请在启用 IAM Identity Center 之前更改区域选择。
注意
IAM Identity Center 仅控制来自其主要区域对其权限集和应用程序的访问。我们建议您考虑 IAM Identity Center 在单个区域中运行时与访问控制相关的风险。
尽管 IAM Identity Center 确定来自您启用服务的区域的访问权限,但 Amazon Web Services 账户 是全局的。这意味着,用户登录 IAM 身份中心后,当他们 Amazon Web Services 账户 通过 IAM 身份中心访问时,他们可以在任何区域进行操作。但是 SageMaker,大多数 Amazon 托管应用程序(例如 Amazon)必须安装在与 IAM 身份中心相同的区域,用户才能对这些应用程序进行身份验证和分配访问权限。有关将应用程序与 IAM Identity Center 结合使用时的区域限制的信息,请参阅应用程序的文档。
您还可以使用 IAM Identity Center 对可通过公共 URL 访问的基于 SAML 的应用程序进行身份验证和授权访问,无论应用程序构建于哪个平台或云上。
我们不建议使用IAM Identity Center 的账户实例作为实现弹性的手段,因为它会创建第二个与您的组织实例无关的隔离控制点。
专为可用性而设计
下表提供了 IAM 身份中心旨在实现的可用性。这些值并不代表服务级别协议或保证,而是提供对设计目标的见解。可用性百分比指的是对数据或函数的访问权限,而不是指持久性(例如,数据的长期保留)。
| 服务组件 | 可用性设计目标 |
|---|---|
| 数据平面(包括登录) | 99.95% |
| 控制层面 | 99.90% |