Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS - AWS IAM Identity Center
Manfaat Dukungan Multi-RegionPrasyarat dan pertimbanganMemilih Wilayah Tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS

Topik ini menjelaskan cara menggunakan AWS IAM Identity Center di beberapa Wilayah AWS. Pelajari cara mereplikasi instans Anda ke Wilayah tambahan, mengelola akses dan sesi tenaga kerja, menerapkan aplikasi, dan mempertahankan akses akun selama gangguan layanan.

Ketika Anda mengaktifkan instance organisasi dari IAM Identity Center, Anda memilih satu AWS Region (Wilayah utama). Anda dapat mereplikasi instance ini menjadi tambahan Wilayah AWS jika memenuhi prasyarat tertentu. Pusat Identitas IAM secara otomatis mereplikasi identitas tenaga kerja, set izin, penugasan pengguna dan grup, sesi, dan metadata lainnya dari Wilayah utama ke Wilayah tambahan yang dipilih.

Manfaat Dukungan Multi-Region

Mereplikasi IAM Identity Center menjadi tambahan Wilayah AWS memberikan dua manfaat utama:

  • Peningkatan ketahanan Akun AWS akses — Tenaga kerja Anda dapat mengakses Akun AWS s mereka bahkan jika instans Pusat Identitas IAM mengalami gangguan layanan di Wilayah utamanya. Ini berlaku untuk akses dengan izin yang disediakan sebelum gangguan.

  • Fleksibilitas yang ditingkatkan dalam memilih Wilayah penerapan untuk aplikasi AWS terkelola - Anda dapat menerapkan aplikasi AWS terkelola di Wilayah pilihan Anda untuk memenuhi persyaratan residensi data aplikasi dan meningkatkan kinerja melalui kedekatan dengan pengguna. Aplikasi yang digunakan di Wilayah tambahan mengakses identitas tenaga kerja yang direplikasi secara lokal untuk kinerja dan keandalan yang optimal.

Prasyarat dan pertimbangan

Sebelum Anda mereplikasi instans Pusat Identitas IAM Anda, pastikan persyaratan berikut terpenuhi:

  • Jenis instans - Instance IAM Identity Center Anda harus berupa instance organisasi. Dukungan Multi-Wilayah tidak tersedia dalam instans akun.

  • Sumber identitas - Instance IAM Identity Center Anda harus terhubung ke penyedia identitas eksternal (iDP), seperti. Okta Dukungan Multi-Region tidak tersedia untuk instance yang menggunakan Direktori Aktif atau direktori Pusat Identitas sebagai sumber identitas.

  • AWS Wilayah - Dukungan Multi-Wilayah tersedia di Wilayah komersial diaktifkan secara default di wilayah Anda Akun AWS. Wilayah Keikutsertaan saat ini tidak didukung.

  • Jenis kunci KMS untuk enkripsi saat istirahat - Instans Pusat Identitas IAM Anda harus dikonfigurasi dengan kunci KMS yang dikelola pelanggan Multi-wilayah. Kunci KMS harus berada di AWS akun yang sama dengan Pusat Identitas IAM. Untuk informasi selengkapnya, lihat Menerapkan kunci KMS yang dikelola pelanggan di AWS IAM Identity Center.

  • AWS kompatibilitas aplikasi terkelola - Kunjungi tabel aplikasi AWS aplikasi terkelola yang dapat Anda gunakan dengan IAM Identity Center untuk mengonfirmasi dua persyaratan aplikasi berikut:

    • Semua aplikasi AWS terkelola yang digunakan oleh organisasi Anda harus mendukung IAM Identity Center yang dikonfigurasi dengan kunci KMS yang dikelola pelanggan.

    • Aplikasi AWS terkelola yang ingin Anda terapkan di Wilayah tambahan harus mendukung jenis penyebaran ini.

  • Kompatibilitas iDP eksternal - Untuk sepenuhnya memanfaatkan dukungan Multi-region, IDP eksternal harus mendukung multiple assertion consumer service (ACS). URLs Ini adalah fitur SAMP yang didukung oleh IdPs sepertiOkta,,Microsoft Entra ID, PingFederate PingOne, dan JumpCloud.

    Jika Anda menggunakan iDP yang tidak mendukung beberapa ACS URLs, sepertiGoogle Workspace, sebaiknya Anda bekerja sama dengan vendor iDP Anda untuk mengaktifkan fitur ini. Untuk opsi yang tersedia tanpa beberapa ACS URLs, lihat Menggunakan aplikasi AWS terkelola tanpa beberapa ACS URLs danAkun AWS ketahanan akses tanpa beberapa ACS URLs.

Memilih Wilayah Tambahan

Saat memilih Wilayah tambahan di antara Wilayah komersial yang diaktifkan secara default, pertimbangkan faktor-faktor ini:

  • Persyaratan kepatuhan — Jika Anda perlu menjalankan aplikasi AWS terkelola yang mengakses kumpulan data terbatas pada Wilayah tertentu untuk alasan kepatuhan, pilih Wilayah tempat kumpulan data berada.

  • Optimalisasi kinerja — Jika residensi data bukan faktor, pilih Wilayah yang paling dekat dengan pengguna aplikasi Anda untuk mengoptimalkan pengalaman mereka.

  • Dukungan aplikasi — Verifikasi bahwa AWS aplikasi yang Anda butuhkan tersedia di Wilayah pilihan Anda.

  • Akun AWS ketahanan akses — Untuk kelangsungan akses ke Akun AWS s, pilih Wilayah yang secara geografis jauh dari Wilayah utama instans Pusat Identitas IAM Anda.

catatan

IAM Identity Center memiliki kuota jumlah. Wilayah AWS Untuk informasi selengkapnya, lihat Kuota tambahan.