Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation d'IAM Identity Center sur plusieurs Régions AWS
Cette rubrique explique comment l'utiliser AWS IAM Identity Center sur plusieurs appareils Régions AWS. Découvrez comment répliquer votre instance dans d'autres régions, gérer l'accès du personnel et les sessions, déployer des applications et maintenir l'accès aux comptes en cas d'interruption de service.
Lorsque vous activez une instance d'organisation d'IAM Identity Center, vous en choisissez une seule Région AWS (région principale). Vous pouvez répliquer cette instance vers une instance supplémentaire Régions AWS si elle répond à certaines conditions préalables. IAM Identity Center réplique automatiquement les identités du personnel, les ensembles d'autorisations, les affectations d'utilisateurs et de groupes, les sessions et les autres métadonnées de la région principale vers les régions supplémentaires choisies.
## Avantages du support multirégional
La réplication d'IAM Identity Center vers Régions AWS un autre offre deux avantages essentiels :
+ **Résilience d' Compte AWS accès améliorée** : votre personnel peut accéder à ses Compte AWS données même si l'instance IAM Identity Center subit une interruption de service dans sa région principale. Cela s'applique à l'accès avec des autorisations accordées avant l'interruption.
+ **Flexibilité accrue dans le choix des régions de déploiement pour les applications AWS gérées** : vous pouvez déployer des applications AWS gérées dans vos régions préférées afin de répondre aux exigences de résidence des données des applications et d'améliorer les performances grâce à la proximité des utilisateurs. Les applications déployées dans d'autres régions accèdent aux identités du personnel répliquées localement pour des performances et une fiabilité optimales.
## Prérequis et considérations
Avant de répliquer votre instance IAM Identity Center, assurez-vous que les exigences suivantes sont respectées :
+ **Type d'instance** : votre instance IAM Identity Center doit être une [instance d'organisation](organization-instances-identity-center.md). Le support multirégional n'est pas disponible dans les [instances de compte](account-instances-identity-center.md).
+ **Source d'identité** : votre instance IAM Identity Center doit être connectée à un fournisseur d'identité externe (IdP), tel que. [https://www.okta.com/](https://www.okta.com/) La prise en charge multirégionale n'est pas disponible pour les instances qui utilisent [Active Directory](gs-ad.md) ou le [répertoire Identity Center](quick-start-default-idc.md) comme source d'identité.
+ **AWS Régions** - Le support multirégional est disponible dans [les régions commerciales activées par défaut](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) dans votre Compte AWS. Les régions optionnelles ne sont actuellement pas prises en charge.
+ **Type de clé KMS pour le chiffrement au repos** : votre instance IAM Identity Center doit être configurée avec une clé [KMS gérée par le client](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html) dans plusieurs régions. La clé KMS doit se trouver dans le même AWS compte qu'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Implémentation de clés KMS gérées par le client dans AWS IAM Identity Center](identity-center-customer-managed-keys.md).
+ **AWS compatibilité des applications gérées** : consultez le tableau des applications [AWS applications gérées que vous pouvez utiliser avec IAM Identity Center](awsapps-that-work-with-identity-center.md) pour vérifier les deux exigences suivantes :
+ Toutes les applications AWS gérées utilisées par votre organisation doivent prendre en charge le centre d'identité IAM configuré avec une clé KMS gérée par le client.
+ Les applications AWS gérées que vous souhaitez déployer dans des régions supplémentaires doivent prendre en charge ce type de déploiement.
+ **Compatibilité avec l'IdP externe** : pour tirer pleinement parti de la prise en charge multirégionale, l'IdP externe doit prendre en charge le service ACS (Multiple Assertion Consumer Service). URLs Il s'agit d'une fonctionnalité SAML prise en IdPs charge parOkta,Microsoft Entra ID, PingFederate PingOne, et JumpCloud.
Si vous utilisez un IdP qui ne prend pas en charge plusieurs ACS URLs, par exempleGoogle Workspace, nous vous recommandons de contacter votre fournisseur d'IdP pour activer cette fonctionnalité. Pour les options disponibles sans plusieurs ACS URLs, voir [Utilisation d'applications AWS gérées sans plusieurs ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) et[Compte AWS résilience des accès sans plusieurs ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
## Choix d'une région supplémentaire
Lorsque vous choisissez une région supplémentaire parmi les régions commerciales activées par défaut, tenez compte des facteurs suivants :
+ **Exigences de conformité** : si vous devez exécuter des applications AWS gérées qui accèdent à des ensembles de données limités à une région spécifique pour des raisons de conformité, choisissez la région dans laquelle se trouvent les ensembles de données.
+ **Optimisation des performances** : si la résidence des données n'est pas un facteur, sélectionnez la région la plus proche des utilisateurs de votre application afin d'optimiser leur expérience.
+ **Assistance aux applications** — Vérifiez que les AWS applications requises sont disponibles dans la région que vous avez choisie.
+ **Compte AWS résilience de l'accès** : pour garantir la continuité de l'accès à Compte AWS s, choisissez une région géographiquement éloignée de la région principale de votre instance IAM Identity Center.
**Note**
IAM Identity Center dispose d'un quota sur le nombre de Régions AWS. Pour de plus amples informations, veuillez consulter [Quotas supplémentaires](limits.md#additionallimits).
# Répliquer le centre d'identité IAM dans une région supplémentaire
Si votre environnement répond aux [conditions requises](multi-region-iam-identity-center.md#multi-region-prerequisites), telles que la configuration d'IAM Identity Center à l'aide d'une clé KMS multirégionale gérée par le client, effectuez les étapes suivantes pour répliquer votre instance IAM Identity Center dans une région supplémentaire. Votre région principale continue de fonctionner normalement pendant et après ces étapes.
## Étape 1 : créer une réplique de clé dans la région supplémentaire
Avant de répliquer IAM Identity Center vers une région, vous devez d'abord créer une clé de réplique de votre clé KMS gérée par le client dans cette région et configurer la clé de réplique avec les autorisations requises pour le fonctionnement d'IAM Identity Center. Pour obtenir des instructions sur la création de clés de réplication multirégionales, consultez la section [Création de clés de réplication multirégionales](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-replicate.html).
L'approche recommandée pour les autorisations relatives aux clés KMS consiste à copier la politique clé à partir de la clé primaire, qui accorde les mêmes autorisations déjà établies pour le centre d'identité IAM dans la région principale. Vous pouvez également définir des politiques clés spécifiques à une région, bien que cette approche complique la gestion des autorisations entre les régions et puisse nécessiter une coordination supplémentaire lors de la mise à jour des politiques à l'avenir.
**Note**
AWS KMS ne synchronise pas votre politique de clé KMS entre les régions de votre clé KMS multirégionale. Pour que la politique des clés KMS reste synchronisée dans les régions clés KMS, vous devez appliquer les modifications dans chaque région individuellement.
## Étape 2 : ajouter la région dans le centre d'identité IAM
L'ajout d'une région dans le centre d'identité IAM déclenche la réplication automatique des données du centre d'identité IAM dans cette région. La réplication est asynchrone avec une cohérence éventuelle. Les onglets suivants fournissent des instructions pour effectuer cette opération dans AWS Management Console et AWS CLI.
------
#### [ Console ]
**Pour ajouter une région**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon/).
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. Choisissez l’onglet **Gestion**.
1. Dans la section **Régions pour le centre d'identité IAM**, sélectionnez **Ajouter une région.**
1. Dans la section **Régions AWS Disponible pour la réplication**, sélectionnez votre option préférée Région AWS. Si la région n'apparaît pas dans la liste, elle n'est pas disponible pour la réplication car la clé KMS n'y a pas été répliquée. Pour de plus amples informations, veuillez consulter [Implémentation de clés KMS gérées par le client dans AWS IAM Identity Center](identity-center-customer-managed-keys.md).
1. Choisissez **Ajouter une région**.
1. Dans la section **Régions pour le centre d'identité IAM**, surveillez le statut de la région. Utilisez le bouton **Actualiser** (flèche circulaire) pour vérifier le dernier état de la région selon les besoins. Une fois la réplication terminée, passez à l'étape 2.
------
#### [ AWS CLI ]
**Pour ajouter une région**
```
aws sso-admin add-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
**Pour vérifier le statut actuel de la région**
```
aws sso-admin describe-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
Lorsque le statut de la région est ACTIF, vous pouvez passer à l'étape 2.
------
La durée de la réplication initiale vers une région supplémentaire dépend de la quantité de données contenue dans votre instance IAM Identity Center. Les modifications incrémentielles ultérieures sont répliquées en quelques secondes dans la plupart des cas.
## Étape 3 : Mettre à jour la configuration de l'IdP externe
Suivez le didacticiel correspondant à votre IdP externe [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md) pour suivre les étapes suivantes :
**Étape 3.a : Ajoutez l'Assertion Consumer Service (ACS) URLs à votre IdP externe**
Cette étape permet la connexion directe à chaque région supplémentaire et est requise pour permettre la connexion aux applications AWS gérées déployées dans ces régions et pour accéder à Compte AWS s via ces régions. Pour savoir où se trouve l'ACS URLs, voir[Points de terminaison ACS dans le primaire et dans le module supplémentaire Régions AWS](multi-region-workforce-access.md#acs-endpoints).
**Étape 3.b (facultatif) : Rendre le Portail d'accès AWS disponible sur le portail IdP externe**
Rendez la Portail d'accès AWS région supplémentaire disponible sous forme d'application de favoris sur le portail IdP externe. Les applications de favoris contiennent uniquement un lien (URL) vers la destination souhaitée et sont similaires à un signet de navigateur. Vous pouvez les trouver Portail d'accès AWS URLs dans la console en choisissant **Afficher tout Portail d'accès AWS URLs** dans la section **Régions pour le centre d'identité IAM**. Pour de plus amples informations, veuillez consulter [Portail d'accès AWS points de terminaison dans le primaire et dans le module supplémentaire Régions AWS](multi-region-workforce-access.md#portal-endpoints).
IAM Identity Center prend en charge le SSO SAML initié par l'IdP dans chaque région supplémentaire, mais les applications externes le prennent IdPs généralement en charge avec une seule URL ACS. Pour des raisons de continuité, nous vous recommandons de continuer à utiliser l'URL ACS de la région principale pour l'authentification unique SAML initiée par l'IdP et de vous fier aux applications de favoris et aux signets du navigateur pour accéder à des régions supplémentaires.
## Étape 4 : Confirmer les listes d'autorisation du pare-feu et de la passerelle
[Passez en revue vos listes d'autorisation de domaines dans les pare-feux ou les passerelles, et mettez-les à jour en fonction des listes d'autorisation documentées.](enable-identity-center-portal-access.md)
## Étape 5 : Fournissez des informations à vos utilisateurs
Fournissez à vos utilisateurs des informations sur la nouvelle configuration, notamment l' Portail d'accès AWS URL de la région supplémentaire et la manière d'utiliser les régions supplémentaires. Consultez les sections suivantes pour obtenir des informations pertinentes :
+ [Accès à la main-d'œuvre par le biais d'une région supplémentaire](multi-region-workforce-access.md)
+ [Basculement vers une région supplémentaire pour y accéder Compte AWS](multi-region-failover.md)
+ [Déploiement et gestion d'applications dans plusieurs AWS régions](multi-region-application-use.md)
## Changements de région au-delà de l'ajout de la première région
Vous pouvez ajouter et supprimer des régions supplémentaires. La région principale ne peut pas être supprimée autrement qu'en supprimant l'intégralité de l'instance IAM Identity Center. Pour plus d'informations sur la suppression d'une région, consultez[Supprimer une région du centre d'identité IAM](remove-region.md).
Vous ne pouvez pas promouvoir une région supplémentaire en tant que région principale ou rétrograder la région principale pour en faire une région supplémentaire.
## Quelles données sont répliquées ?
IAM Identity Center réplique les données suivantes :
| Données | Source et cible de réplication |
| --- | --- |
| Identités du personnel (utilisateurs, groupes, appartenances à des groupes) | De la région principale aux régions supplémentaires |
| Ensembles d'autorisations et leur attribution aux utilisateurs et aux groupes | De la région principale aux régions supplémentaires |
| Configuration (tels que les paramètres SAML de l'IdP externe) | De la région principale aux régions supplémentaires |
| Métadonnées des applications et attributions d'applications aux utilisateurs et aux groupes | De la région IAM Identity Center connectée à une application vers les autres régions activées |
| Émetteurs de jetons fiables | De la région principale aux régions supplémentaires |
| Séances | De la région d'origine de la session aux autres régions activées |
**Note**
IAM Identity Center ne réplique pas les données stockées dans les applications AWS gérées. En outre, cela ne modifie pas l'empreinte régionale du déploiement d'une application. Par exemple, si votre instance IAM Identity Center se trouve dans l'est des États-Unis (Virginie du Nord) et qu'Amazon Redshift est déployé dans la même région, la réplication d'IAM Identity Center vers l'ouest des États-Unis (Oregon) n'a aucune incidence sur la région de déploiement d'Amazon Redshift ni sur les données qu'elle stocke.
**Considérations :**
+ **Identifiants de ressources globaux dans les régions activées** : les utilisateurs, les groupes, les ensembles d'autorisations et les autres ressources ont les mêmes identifiants dans les régions activées.
+ **La réplication n'affecte pas les rôles IAM provisionnés - Les rôles IAM** existants fournis à partir d'attributions d'ensembles d'autorisations sont utilisés lors de la connexion au compte depuis n'importe quelle région activée.
# Accès à la main-d'œuvre par le biais d'une région supplémentaire
Cette section explique comment votre personnel peut accéder aux Portail d'accès AWS, Compte AWS et aux applications lorsque vous avez activé IAM Identity Center dans plusieurs régions.
Le Portail d'accès AWS menu dans une région supplémentaire affiche Compte AWS les applications et les applications auxquelles votre personnel a accès de la même manière que dans la région principale. Votre personnel peut se connecter Portail d'accès AWS à une région supplémentaire via un lien direct vers le point de terminaison du portail régional (par exemple,`https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com`) ou via une [application de favoris](replicate-to-additional-region.md#update-external-idp-setup) que vous avez configurée dans l'IdP externe.
Vous pouvez utiliser le Portail d'accès AWS point de terminaison dans une région supplémentaire AWS CLI pour autoriser l'accès APIs en tant qu'utilisateur du IAM Identity Center. Cette fonctionnalité fonctionne de la même manière que dans la région principale. Toutefois, les autorisations CLI ne sont pas répliquées entre les régions activées. Par conséquent, vous devez autoriser la CLI dans chaque région individuellement.
## Sessions utilisateur sur plusieurs Régions AWS
IAM Identity Center réplique les sessions utilisateur de la région d'origine vers les autres régions activées. La révocation de session et la déconnexion dans une région sont également reproduites dans les autres régions.
### Révocation de session par les administrateurs d'IAM Identity Center
Les administrateurs d'IAM Identity Center peuvent révoquer les sessions utilisateur dans des régions supplémentaires. Lorsque les sessions sont répliquées entre les régions, dans des conditions normales, il suffit de révoquer une session dans une seule région et de laisser IAM Identity Center répliquer la modification dans les autres régions activées. En cas d'interruption de la région principale d'IAM Identity Center, les administrateurs peuvent effectuer cette opération dans d'autres régions.
## Portail d'accès AWS points de terminaison dans le primaire et dans le module supplémentaire Régions AWS
Si vous devez rechercher le portail AWS d'accès URLs pour les régions activées, procédez comme suit :
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon/).
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. Choisissez l’onglet **Gestion**.
1. Dans la section **Régions pour le centre d'identité IAM**, choisissez **Afficher tout le portail AWS URLs d'accès**.
Le tableau suivant indique les Portail d'accès AWS points de terminaison dans les régions principale et supplémentaire d'une instance IAM Identity Center.
| Portail d'accès AWS point de terminaison | Région principale | Région supplémentaire | Modèle d'URL et exemple |
| --- | --- | --- | --- |
| Classique IPv4 uniquement 1 | Oui | Non | **Modèle** : `https://[Identity Store ID].awsapps.com/start` **Exemple** : `https://d-12345678.awsapps.com/start` |
| Alias personnalisé IPv4 uniquement 1 | Oui (facultatif) | Non | **Modèle** : `https://[custom alias].awsapps.com/start` **Exemple** : `https://mycompany.awsapps.com/start` |
| Alternative IPv4 uniquement 2 | Oui | Oui | **Modèle** : `https://[Identity Center instance ID]. [Region].portal.amazonaws.com` **Exemple** : `https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com` |
| Double pile 2 | Oui | Oui | **Modèle** : `https://[Identity Center instance ID].portal. [Region].app.aws` **Exemple** : `https://ssoins-111111h2222j33pp.portal.eu-west-1.app.aws` |
1 Dans d'autres régions, l'alias personnalisé n'est pas pris en charge et le domaine `awsapps.com` parent n'est pas disponible.
2 IPv4 Seule alternative, et les points de terminaison du portail à double pile n'ont pas de queue `/start` dans l'URL.
## Points de terminaison Assertion Consumer Service (ACS) du serveur principal et du terminal supplémentaire Régions AWS
Si vous devez consulter l'ACS URLs ou le télécharger dans le cadre des métadonnées SAML, procédez comme suit :
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon/).
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. Choisissez l'onglet **Source d'identité**.
1. Dans le menu déroulant **Actions**, choisissez **Gérer l'authentification**.
1. La section **des métadonnées du fournisseur** de services affiche Portail d'accès AWS l'URL ACS pour chaque région activée. IPv4-only et dual-stack URLs sont affichés dans des onglets séparés. Si votre IdP prend en charge le téléchargement d'un fichier de métadonnées SAML, vous pouvez choisir **Télécharger le fichier de métadonnées pour télécharger le fichier de métadonnées** SAML avec tous les ACS. URLs **Si votre IdP ne prend pas en charge le téléchargement d'un fichier de métadonnées, ou si vous préférez ajouter ACS URLs individuellement, vous pouvez copier un fichier URLs à partir du tableau de la console, ou choisir **Afficher ACS URLs** puis Copier tout. URLs** Conservez l'URL ACS déjà configurée pour la région principale afin de garantir que l'authentification unique SAML initiée par le fournisseur de services depuis la région principale reste fonctionnelle.
Le tableau suivant indique les points de terminaison du SAML Assertion Consumer Service (ACS) dans les régions principales et supplémentaires d'une instance IAM Identity Center :
| Point final ACS | Région principale | Région supplémentaire | Modèle d'URL et exemple |
| --- | --- | --- | --- |
| IPv4 uniquement | Oui | Oui | **Modèle** : `https://[Region].signin.aws/platform/saml/acs/[Tenant ID]` **Exemple** : ` https://us-west-2.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111` |
| Alternative IPv4 seulement\$1 | Oui | Non | **Modèle** : `https://[Region] .signin.aws.amazon.com/platform/saml/acs/[Tenant ID]` **Exemple** : ` https://us-west-2.signin.aws.amazon.com/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111` |
| Double pile | Oui | Oui | **Modèle** : `https://[Region].sso.signin.aws/platform/saml/acs/[Tenant ID]` **Exemple** : ` https://us-west-2.sso.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111` |
\$1 Pour les instances activées avant février 2026, conservez ce point de terminaison car l'authentification unique SAML initiée par le fournisseur de services dans la région principale l'exige. IAM Identity Center n'utilise pas ce point de terminaison pour les instances activées en février 2026 ou ultérieurement.
## Utilisation d'applications AWS gérées sans plusieurs ACS URLs
Certains fournisseurs d'identité externes (IdPs) ne prennent pas en charge le service client à assertions multiples (ACS) URLs dans leur application IAM Identity Center. URLs Les ACS multiples sont une fonctionnalité SAML requise pour la connexion directe à une région spécifique dans un centre d'identité IAM multirégional.
Par exemple, si vous lancez une application AWS gérée via un lien d'application, le système déclenche la connexion via la région du centre d'identité IAM connectée à l'application. Toutefois, si l'URL ACS pour cette région n'est pas configurée dans l'IdP externe, la connexion échoue.
Pour résoudre ce problème, contactez votre fournisseur d'IdP pour activer la prise en charge de plusieurs ACS. URLs Dans l'intervalle, vous pouvez toujours utiliser les applications AWS gérées dans d'autres régions. Connectez-vous d'abord à la région dont l'URL ACS est configurée dans l'IdP externe (la région principale par défaut). Une fois que vous avez une session active dans IAM Identity Center, vous pouvez lancer l'application depuis le portail AWS d'accès de n'importe quelle région activée ou via un lien vers l'application.
# Basculement vers une région supplémentaire pour y accéder Compte AWS
Le sujet de l' Compte AWS accès via IAM Identity Center est traité en détail dans[Configurer l'accès à Comptes AWS](manage-your-accounts.md). Cette section fournit des informations supplémentaires relatives au maintien de l' Compte AWS accès sur plusieurs réseaux Régions AWS en cas d'interruption de service dans la région principale.
Si votre instance IAM Identity Center subit une interruption dans la région principale (par exemple, le portail d' AWS accès de la région principale n'est pas disponible), votre personnel peut passer à une autre région pour continuer à accéder à des Compte AWS applications non concernées. Pour de plus amples informations, veuillez consulter [Accès à la main-d'œuvre par le biais d'une région supplémentaire](multi-region-workforce-access.md).
Nous vous recommandons de communiquer les Portail d'accès AWS points de terminaison des régions supplémentaires et la configuration de l'IdP externe (par exemple, les applications de favoris pour les régions supplémentaires) à votre personnel dès que vous avez terminé la configuration dans. [Répliquer le centre d'identité IAM dans une région supplémentaire](replicate-to-additional-region.md) Cela leur permettra d'être prêts à basculer vers une région supplémentaire si nécessaire.
De même, nous recommandons AWS CLI aux utilisateurs de créer [AWS CLI des profils](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) pour des régions supplémentaires pour chacun des profils qu'ils possèdent pour la région principale. Ils peuvent ensuite passer à ce profil en cas d'interruption de service dans la région principale.
**Note**
La continuité de l'accès à Compte AWS s dépend également de l'état de santé de votre IdP externe et des autorisations, telles que les attributions d'ensembles d'autorisations et les appartenances à des groupes, fournies et répliquées avant une interruption de service. Nous recommandons également à votre entreprise de configurer un [accès AWS sans](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.sad.5-implement-break-glass-procedures.html) faille afin de maintenir l' AWS accès à un petit groupe d'utilisateurs privilégiés en cas d'interruption de service de l'IdP externe. [L'accès d'urgence](emergency-access.md) est une option similaire qui évite d'utiliser des utilisateurs IAM, mais elle dépend également de l'IdP externe.
## Compte AWS résilience des accès sans plusieurs ACS URLs
Certains fournisseurs d'identité externes (IdPs) ne prennent pas en charge le service client à assertions multiples (ACS) URLs dans leur application IAM Identity Center. URLs Les ACS multiples sont une fonctionnalité SAML requise pour la connexion directe à une région spécifique dans un centre d'identité IAM multirégional.
Pour permettre à vos utilisateurs d'y accéder Comptes AWS via plusieurs régions du centre d'identité IAM, vous devez configurer l'ACS régional correspondant URLs dans l'IdP externe. Toutefois, si l'IdP externe ne prend en charge qu'une seule URL ACS dans son application IAM Identity Center, les utilisateurs peuvent se connecter directement à une seule région du centre d'identité IAM.
Pour résoudre ce problème, contactez votre fournisseur d'IdP pour activer la prise en charge de plusieurs ACS. URLs En attendant, vous pouvez utiliser des régions supplémentaires comme sauvegarde pour accéder à Comptes AWS.
Si une interruption du service IAM Identity Center survient dans la région principale, vous devez mettre à jour l'URL ACS dans l'IdP externe avec l'URL ACS d'une région supplémentaire. Après cette mise à jour, vos utilisateurs peuvent accéder au portail AWS d'accès de la région supplémentaire à l'aide de l'application IAM Identity Center existante sur le portail IdP externe, ou via un lien direct que vous partagez avec eux.
Nous vous recommandons de tester régulièrement cette configuration pour vous assurer qu'elle fonctionne en cas de besoin et de communiquer ce processus de basculement à votre organisation.
**Note**
Lorsque vous utilisez une région supplémentaire pour y accéder Comptes AWS dans cette configuration, vos utilisateurs peuvent ne pas être en mesure d'accéder aux applications AWS gérées connectées à la région principale. Par conséquent, nous recommandons cette mesure uniquement comme mesure temporaire pour maintenir l'accès à Comptes AWS.
# Déploiement et gestion d'applications dans plusieurs AWS régions
Le sujet de l'accès aux applications via IAM Identity Center est traité en détail dans[Configuration de l'accès aux applications](manage-your-applications.md). Cette section fournit des informations supplémentaires relatives au déploiement et à la gestion d'applications multiples Régions AWS.
## Déploiement et gestion d'applications AWS gérées sur plusieurs Régions AWS
Avec une instance IAM Identity Center à région unique, vous pouvez déployer des applications AWS gérées dans la même région que votre instance. Certaines applications telles qu'Amazon Q Business prennent en charge une connexion interrégionale à IAM Identity Center, ce qui permet leur déploiement en dehors de la région du IAM Identity Center si l'application qui vous intéresse y est disponible. Cependant, les appels interrégionaux peuvent ralentir les performances des applications, et la plupart des applications AWS gérées ne prennent pas en charge ce type de connexion.
Une instance de centre d'identité IAM multirégion vous permet de déployer des applications AWS gérées dans n'importe quelle région activée avec une connexion au centre d'identité IAM de la même région (« connexion régionale locale »). Le déploiement dans la région principale est pris en charge par toutes les applications AWS gérées intégrées. Pour savoir quelles applications AWS gérées prennent en charge le déploiement dans des régions supplémentaires d'IAM Identity Center, consultez le tableau des applications dans[AWS applications gérées que vous pouvez utiliser avec IAM Identity Center](awsapps-that-work-with-identity-center.md). Dans tous les cas, l'application AWS gérée doit être disponible dans la région où vous souhaitez la déployer.
Grâce à une connexion régionale locale à IAM Identity Center, les applications AWS gérées accèdent aux identités du personnel de la même région pour des performances et une fiabilité optimales. Nous vous recommandons de choisir une connexion régionale locale lors du déploiement d'une application AWS gérée lorsque les [conditions préalables sont remplies](multi-region-iam-identity-center.md#multi-region-prerequisites).
Pour déployer une application AWS gérée dans une région supplémentaire d'IAM Identity Center, lancez le déploiement dans cette région via la console ou l'API de l'application de la même manière que vous déployez dans la région principale.
**Considérations :**
+ Si vous n'avez pas encore répliqué votre IAM Identity Center dans cette région, nous vous recommandons de le faire d'abord afin que le déploiement de l'application puisse être terminé immédiatement.
+ AWS dans de nombreux cas, les applications gérées établiront automatiquement une connexion régionale si vous avez déjà répliqué IAM Identity Center dans la région.
+ [Si une application AWS gérée propose une connexion interrégionale à IAM Identity Center, nous vous recommandons de choisir une connexion régionale locale à condition que les conditions requises soient remplies.](multi-region-iam-identity-center.md#multi-region-prerequisites)
+ Si l'application ne prend pas en charge le déploiement dans des régions supplémentaires, vous pouvez la déployer dans la région principale à condition que l'application y soit disponible.
**Important**
Si votre instance IAM Identity Center est multirégionale, toutes les applications AWS gérées utilisées par votre organisation doivent prendre en charge IAM Identity Center configuré avec une clé KMS gérée par le client, quelle que soit la région de déploiement de l'application. Vérifiez cela avant de déployer une application et [AWS applications gérées que vous pouvez utiliser avec IAM Identity Center](awsapps-that-work-with-identity-center.md) avant de configurer une clé KMS gérée par le client dans votre IAM Identity Center.
### Région de gestion d'une application
Après avoir déployé une application AWS gérée dans une région supplémentaire d'IAM Identity Center à l'aide d'une connexion régionale locale, vous gérez l'application et ses attributions aux utilisateurs et aux groupes de la même région. IAM Identity Center réplique les métadonnées de l'application, y compris les affectations aux utilisateurs et aux groupes, vers d'autres régions activées afin que votre personnel puisse lancer des applications depuis n'importe quelle région activée.
Si votre application AWS gérée utilise une connexion interrégionale à IAM Identity Center, vous pouvez gérer les détails de l'application tels que le nom et la description, ainsi que les attributions des applications aux utilisateurs et aux groupes via la console et l'API IAM Identity Center dans la région connectée. Quel que soit le type de connexion, vous pouvez gérer l'application via sa console dans sa région de déploiement.
### Propagation d’identité de confiance
Vous pouvez utiliser la propagation d'identité fiable avec des applications AWS gérées qui la prennent en charge dans n'importe quelle région activée de votre instance IAM Identity Center.
Toutes les applications qui se propagent le contexte d'identité doivent se trouver dans la même région.
### Dépendance d'une application par rapport à sa région IAM Identity Center connectée
Chaque application AWS gérée se connecte à une région spécifique du centre d'identité IAM lors du déploiement. L'application dépend alors de cette région pour la connexion des utilisateurs, même si votre centre d'identité IAM est activé dans plusieurs régions. Si votre centre d'identité IAM est perturbé dans cette région, les utilisateurs ne pourront peut-être pas accéder aux applications AWS gérées connectées à la région.
## Déploiement et gestion d'applications gérées par le client sur plusieurs Régions AWS
IAM Identity Center prend en charge le SAML et les applications [gérées par OAuth2 le client](customermanagedapps.md). Vous pouvez choisir de les créer dans n'importe quelle région activée de votre instance IAM Identity Center. Une fois que vous en avez créé une, vous gérez l'application et ses attributions aux utilisateurs et aux groupes de la même région.
# Supprimer une région du centre d'identité IAM
Pour supprimer une région supplémentaire de votre instance IAM Identity Center, procédez comme suit :
## Étape 1 : Mettre à jour la configuration de l'IdP externe
Vous pouvez choisir de supprimer l'URL ACS de cette région de votre IdP externe ou de la conserver au cas où vous souhaiteriez ajouter à nouveau cette région ultérieurement. Nous vous recommandons de supprimer ou de masquer l'application de favoris que vous avez peut-être créée pour cette Portail d'accès AWS région.
## Étape 2 : supprimer la région
------
#### [ Console ]
**Pour ajouter une région**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon/).
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. Choisissez l’onglet **Gestion**.
1. Dans la section **Régions pour le centre d'identité IAM**, choisissez la région supplémentaire que vous souhaitez supprimer.
1. Cliquez sur **Supprimer**.
1. Avant de confirmer la suppression en choisissant **Supprimer la région**, prêtez attention à l'avertissement concernant la perte potentielle d'accès aux applications créées dans cette région du centre d'identité IAM. Si vous n'êtes pas sûr de disposer de telles applications, sélectionnez **Applications** dans le volet de navigation et confirmez la région connectée dans la colonne **Créée à partir de** pour chaque application AWS gérée et gérée par le client.
**Note**
Vous pouvez continuer à payer des frais pour les déploiements d'applications AWS gérées qui sont toujours connectées à la région supprimée, même si vous perdez l'accès à ces applications. Pour éviter cela, vous devez supprimer ces déploiements d'applications AWS gérées via la console d'application ou l'API avant de supprimer la région dans IAM Identity Center. Si vous avez déjà supprimé la région du centre d'identité IAM, vous pouvez rétablir l'accès aux applications en ajoutant de nouveau la région.
1. Dans la section **Régions pour le centre d'identité IAM**, surveillez le statut de la région. Utilisez le bouton **Actualiser** (flèche circulaire) pour voir le dernier état de la région selon vos besoins. Une fois la région supprimée, elle n'apparaît plus dans la liste des régions.
------
#### [ AWS CLI ]
**Pour supprimer une région**
```
aws sso-admin remove-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
**Pour vérifier le statut actuel de la région**
```
aws sso-admin describe-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
Lorsque la région est supprimée, passez à l'étape 2.
------
## Étape 3 : supprimer la clé de réplique
Vous pouvez choisir de supprimer la clé de réplique de cette région pour éviter d'encourir des frais de stockage KMS. Pour plus d'informations, consultez [la section Suppression d'une AWS KMS clé](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html).
**Important**
Assurez-vous de supprimer uniquement la clé de réplique dans cette région spécifique. Les autres régions du centre d'identité IAM continuent de s'appuyer sur la clé KMS dans les autres régions activées pour leurs opérations normales.
# Service IAM Identity Center APIs pris en charge dans d'autres régions AWS
| API | Fonctionnalité dans d'autres régions |
| --- | --- |
| [API Identity Center](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/api-support-in-additional-regions.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/api-support-in-additional-regions.html) |
| [API Identity Store](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html) | Opérations de lecture |
| [API OIDC](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html) | Toutes les opérations sont prises en charge |
| [API du portail d'accès](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/Welcome.html) | Toutes les opérations sont prises en charge |
| [API SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) | Aucune opération n'est prise en charge |
# AWS CloudTrail événements du centre d'identité IAM dans la région principale et dans la région supplémentaire
Dans AWS CloudTrail, vous pouvez auditer les actions effectuées par les utilisateurs et les administrateurs d'IAM Identity Center sur toutes les instances activées Régions AWS de votre instance IAM Identity Center. Les AWS CloudTrail événements sont émis et enregistrés dans la région où l'action a lieu. Pour de plus amples informations, veuillez consulter [Journalisation et surveillance dans IAM Identity Center](security-logging-and-monitoring.md).
# Disponibilité des cas d'utilisation d'IAM Identity Center dans la région principale et dans les régions supplémentaires
| Fonctionnalité | Disponibilité par région |
| --- | --- |
| Annuaire des effectifs avec portail utilisateur | |
| Accès utilisateur à la connexion Portail d'accès AWS au portail et aux sessions globales (connexion unique pour toutes les régions) | Toutes les régions activées |
| Affichage de tous les comptes attribués | Toutes les régions activées |
| Affichage de toutes les applications assignées (quel que soit l'endroit où elles ont été créées) | Toutes les régions activées |
| Accès en lecture aux utilisateurs, aux groupes et aux adhésions dans la AWS console ou via Identity Store APIs | Toutes les régions activées |
| Révoquer les sessions utilisateur | Toutes les régions activées |
| Synchronisation automatique des utilisateurs et des groupes à partir d'une source d'identité externe telle qu'un IdP externe via l'API SCIM ou l'API Identity Store | Région principale uniquement |
| Configurer le provisionnement automatique des identités avec SCIM | Région principale uniquement |
| Configurer le SSO SAML avec un IdP externe | Région principale uniquement : accès en lecture via la console dans toutes les régions activées |
| Create/update/deleteopérations sur les utilisateurs, les groupes et les appartenances à des groupes via la console ou Identity Store APIs. | Région principale : disponible via l'API Identity Store mais bloquée dans la console IAM Identity Center lorsque l'API SCIM est utilisée pour le provisionnement (à l'exception de disable/enable l'accès utilisateur et de la suppression d'un utilisateur, qui sont toujours disponibles). Régions supplémentaires : non disponible |
| Accès à plusieurs comptes | |
| Accédez aux comptes attribués via les liens Portail d'accès AWS AWS CLI, et de raccourci | Toutes les régions activées |
| Gérez les ensembles d'autorisations multi-comptes et leurs attributions dans la console et APIs (y compris l'accès élevé temporaire) | Région principale uniquement |
| Accès aux applications et AWS aux services | |
| Déployez des applications AWS gérées via la console d'applications et APIs | Toutes les régions activées, sous réserve de la disponibilité régionale des applications et de la prise en charge du déploiement dans d'autres régions |
| Créez des applications gérées par le client via la console Identity Center et APIs | Toutes les régions activées |
| Gérez les métadonnées et les attributions des applications dans la console et APIs | Région du centre d'identité IAM connectée à l'application |
| Lancez des applications depuis Portail d'accès AWS ou directement via un lien d'application ou un signet | Toutes les régions activées |
| SSO vers les instances Amazon EC2 | Toutes les régions activées |
| Propagation d'identité fiable | |
| Création d’un émetteur de jetons approuvé | Région principale uniquement |
| Propagation d'identité fiable avec des applications AWS gérées | Toutes les régions activées : les applications qui se propagent le contexte d'identité doivent se trouver dans la même région |
| Autres fonctionnalités administratives | |
| Toutes les autres fonctionnalités administratives telles que la gestion des régions, la gestion des clés KMS, la gestion des instances et la gestion des sessions (à l'exception de la révocation de session) | Région principale uniquement : accès en lecture disponible dans toutes les régions activées pour certaines données (les attributions d'ensembles d'autorisations sont exclues) |