Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di IAM Identity Center su più Regioni AWS
Questo argomento spiega come utilizzarlo AWS IAM Identity Center su più piattaforme Regioni AWS. Scopri come replicare l'istanza in altre regioni, gestire l'accesso e le sessioni della forza lavoro, distribuire applicazioni e mantenere l'accesso all'account durante le interruzioni del servizio.
Quando abiliti un'istanza organizzativa di IAM Identity Center, scegli una singola regione Regione AWS (principale). Puoi replicare questa istanza in altre Regioni AWS se soddisfa determinati prerequisiti. IAM Identity Center replica automaticamente le identità della forza lavoro, i set di autorizzazioni, le assegnazioni di utenti e gruppi, le sessioni e altri metadati dalla regione principale alle regioni aggiuntive scelte.
## Vantaggi del supporto multiregionale
La replica di IAM Identity Center ad altri Regioni AWS offre due vantaggi chiave:
+ **Maggiore resilienza di Account AWS accesso**: la tua forza lavoro può accedere ai propri Account AWS servizi anche se l'istanza IAM Identity Center subisce un'interruzione del servizio nella sua regione principale. Questo vale per l'accesso con le autorizzazioni fornite prima dell'interruzione.
+ **Maggiore flessibilità nella scelta delle regioni di distribuzione per le applicazioni AWS gestite**: è possibile distribuire applicazioni AWS gestite nelle regioni preferite per soddisfare i requisiti di residenza dei dati delle applicazioni e migliorare le prestazioni grazie alla vicinanza agli utenti. Le applicazioni distribuite in altre regioni accedono alle identità della forza lavoro replicate localmente per prestazioni e affidabilità ottimali.
## Prerequisiti e considerazioni
Prima di replicare l'istanza di IAM Identity Center, assicurati che siano soddisfatti i seguenti requisiti:
+ **Tipo di istanza**: l'istanza IAM Identity Center deve essere un'[istanza dell'organizzazione](organization-instances-identity-center.md). Il supporto multiregionale non è disponibile nelle [istanze degli account](account-instances-identity-center.md).
+ **Origine dell'identità**: l'istanza di IAM Identity Center deve essere connessa a un provider di identità esterno (IdP), ad esempio. [https://www.okta.com/](https://www.okta.com/) Il supporto multiregionale non è disponibile per le istanze che utilizzano [Active Directory o la directory](gs-ad.md) [Identity Center come origine dell'identità](quick-start-default-idc.md).
+ **AWS Regioni**: il supporto multiregionale è disponibile nelle [regioni commerciali abilitate per impostazione predefinita](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) in. Account AWS Le regioni opt-in non sono attualmente supportate.
+ **Tipo di chiave KMS per la crittografia a riposo**: l'istanza di IAM Identity Center deve essere configurata con una chiave KMS multiregionale [gestita dal cliente](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html). La chiave KMS deve trovarsi nello stesso AWS account di IAM Identity Center. Per ulteriori informazioni, consulta [Implementazione di chiavi KMS gestite dal cliente in AWS IAM Identity Center](identity-center-customer-managed-keys.md).
+ **AWS compatibilità gestita delle applicazioni**: consulta la tabella delle applicazioni [AWS applicazioni gestite che è possibile utilizzare con IAM Identity Center](awsapps-that-work-with-identity-center.md) per confermare i seguenti due requisiti applicativi:
+ Tutte le applicazioni AWS gestite utilizzate dall'organizzazione devono supportare IAM Identity Center, configurato con una chiave KMS gestita dal cliente.
+ Le applicazioni AWS gestite che desideri distribuire in regioni aggiuntive devono supportare questo tipo di implementazione.
+ **Compatibilità con IdP esterni**: per sfruttare appieno il supporto multiregionale, l'IdP esterno deve supportare il Multiple Assertion Consumer Service (ACS). URLs Si tratta di una funzionalità SAML supportata da,, IdPs , eOkta. Microsoft Entra ID PingFederate PingOne JumpCloud
Se utilizzi un IdP che non supporta più ACS URLs, ad esempio, ti consigliamo di collaborare con il fornitore del tuo IdP per abilitare questa funzionalità. Google Workspace Per le opzioni disponibili senza più URLs ACS, consulta e. [Utilizzo di applicazioni AWS gestite senza più ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) [Account AWS resilienza di accesso senza più ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)
## Scelta di una regione aggiuntiva
Quando scegli una regione aggiuntiva tra le regioni commerciali abilitate per impostazione predefinita, considera questi fattori:
+ **Requisiti di conformità**: se devi eseguire applicazioni AWS gestite che accedono a set di dati limitati a una regione specifica per motivi di conformità, scegli la regione in cui risiedono i set di dati.
+ **Ottimizzazione delle prestazioni**: se la residenza dei dati non è un fattore, seleziona la regione più vicina agli utenti dell'applicazione per ottimizzare la loro esperienza.
+ **Supporto per le applicazioni**: verifica che le AWS applicazioni richieste siano disponibili nella regione prescelta.
+ **Account AWS resilienza di accesso**: per garantire la continuità dell'accesso a Account AWS s, scegli una regione geograficamente distante dalla regione principale dell'istanza di IAM Identity Center.
**Nota**
IAM Identity Center ha una quota sul numero di. Regioni AWS Per ulteriori informazioni, consulta [Quote aggiuntive](limits.md#additionallimits).
# Replica IAM Identity Center in un'altra regione
Se il tuo ambiente soddisfa i [prerequisiti](multi-region-iam-identity-center.md#multi-region-prerequisites), ad esempio la configurazione di IAM Identity Center con una chiave KMS gestita dal cliente in più regioni, completa i seguenti passaggi per replicare l'istanza di IAM Identity Center in una regione aggiuntiva. La regione principale continua a funzionare normalmente durante e dopo questi passaggi.
## Passaggio 1: creare una chiave di replica nella regione aggiuntiva
Prima di replicare IAM Identity Center in una regione, devi prima creare una chiave di replica della chiave KMS gestita dal cliente in quella regione e configurare la chiave di replica con le autorizzazioni richieste per le operazioni di IAM Identity Center. [Per istruzioni sulla creazione di chiavi di replica multiregionali, consulta Creazione di chiavi di replica multiregionali.](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-replicate.html)
L'approccio consigliato per le autorizzazioni delle chiavi KMS consiste nel copiare la policy chiave dalla chiave primaria, che concede le stesse autorizzazioni già stabilite per IAM Identity Center nella regione primaria. In alternativa, è possibile definire politiche chiave specifiche per regione, sebbene questo approccio aumenti la complessità della gestione delle autorizzazioni tra le regioni e possa richiedere un ulteriore coordinamento per l'aggiornamento delle politiche in futuro.
**Nota**
AWS KMS non sincronizza la politica delle chiavi KMS tra le regioni della chiave KMS multiregionale. Per mantenere sincronizzata la politica delle chiavi KMS tra le regioni chiave KMS, dovrai applicare le modifiche in ciascuna regione singolarmente.
## Passaggio 2: aggiungi la regione in IAM Identity Center
L'aggiunta di una regione in IAM Identity Center attiva la replica automatica dei dati di IAM Identity Center in quella regione. La replica è asincrona con eventuale coerenza. Le seguenti schede forniscono istruzioni per eseguire questa operazione nella modalità e. Console di gestione AWS AWS CLI
------
#### [ Console ]
**Per aggiungere una regione**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon/).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Scegliere la scheda **Management** (Gestione),
1. Nella sezione **Regioni per IAM Identity Center**, scegli **Aggiungi regione**.
1. Nella sezione **Regioni AWS Disponibile per la replica**, scegli la tua preferita Regione AWS. Se la regione non appare nell'elenco, non è disponibile per la replica perché la chiave KMS non è stata replicata lì. Per ulteriori informazioni, consulta [Implementazione di chiavi KMS gestite dal cliente in AWS IAM Identity Center](identity-center-customer-managed-keys.md).
1. **Scegli Aggiungi regione.**
1. Nella sezione **Regioni per IAM Identity Center**, monitora lo stato della regione. Utilizza il pulsante **Aggiorna** (freccia circolare) per verificare lo stato più recente della regione, se necessario. Una volta completata la replica, procedi al passaggio 2.
------
#### [ AWS CLI ]
**Per aggiungere una regione**
```
aws sso-admin add-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
**Per verificare lo stato attuale della regione**
```
aws sso-admin describe-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
Quando lo stato della regione è ATTIVO, puoi procedere al passaggio 2.
------
La durata della replica iniziale in una regione aggiuntiva dipende dalla quantità di dati nell'istanza di IAM Identity Center. Le modifiche incrementali successive vengono replicate in pochi secondi nella maggior parte dei casi.
## Fase 3: Aggiornare la configurazione dell'IdP esterno
Segui il tutorial per il tuo IdP esterno [Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md) per i seguenti passaggi:
**Fase 3.a: Aggiungi l'Assertion Consumer Service (ACS) URLs al tuo IdP esterno**
Questo passaggio consente l'accesso diretto a ciascuna regione aggiuntiva ed è necessario per abilitare l'accesso alle applicazioni AWS gestite distribuite in tali regioni e per l'accesso a noi tramite tali regioni. Account AWS Per sapere dove trovare l' URLsACS, vedi. [Endpoint ACS primari e aggiuntivi Regioni AWS](multi-region-workforce-access.md#acs-endpoints)
**Fase 3.b (facoltativo): rendere Portale di accesso AWS disponibile il file nel portale IdP esterno**
Rendila disponibile Portale di accesso AWS nella regione aggiuntiva come app per segnalibri nel portale IdP esterno. Le app per i segnalibri contengono solo un link (URL) alla destinazione desiderata e sono simili ai segnalibri del browser. Puoi trovarle Portale di accesso AWS URLs nella console selezionando **Visualizza tutto Portale di accesso AWS URLs** nella sezione **Regioni per IAM Identity Center**. Per ulteriori informazioni, consulta [Portale di accesso AWS endpoint primari e aggiuntivi Regioni AWS](multi-region-workforce-access.md#portal-endpoints).
IAM Identity Center supporta l'SSO SAML avviato da IdP in ogni regione aggiuntiva, ma l'esterno in IdPs genere lo supporta con un solo URL ACS. Per garantire la continuità, consigliamo di mantenere l'URL ACS della regione principale in uso per l'SSO SAML avviato dall'IdP e di affidarsi alle app di segnalibri e ai segnalibri del browser per accedere a regioni aggiuntive.
## Fase 4: Conferma gli elenchi di indirizzi consentiti per firewall e gateway
[Esamina gli elenchi di domini consentiti nei firewall o nei gateway e aggiornali in base agli elenchi di consentiti documentati.](enable-identity-center-portal-access.md)
## Fase 5: Fornisci informazioni ai tuoi utenti
Fornisci agli utenti informazioni sulla nuova configurazione, incluso l' Portale di accesso AWS URL nella regione aggiuntiva e su come utilizzare le aree aggiuntive. Consulta le seguenti sezioni per i dettagli pertinenti:
+ [Accesso alla forza lavoro tramite una regione aggiuntiva](multi-region-workforce-access.md)
+ [Failover verso una regione aggiuntiva per l'accesso Account AWS](multi-region-failover.md)
+ [Distribuzione e gestione di applicazioni in più AWS regioni](multi-region-application-use.md)
## Modifiche alla regione oltre all'aggiunta della prima regione
Puoi aggiungere e rimuovere altre regioni. La regione primaria può essere rimossa solo eliminando l'intera istanza di IAM Identity Center. Per ulteriori informazioni sulla rimozione di una regione, consulta[Rimuovi una regione da IAM Identity Center](remove-region.md).
Non è possibile promuovere una regione aggiuntiva come principale o retrocedere la regione principale come aggiuntiva.
## Quali dati vengono replicati?
IAM Identity Center replica i seguenti dati:
| Dati | Origine e destinazione della replica |
| --- | --- |
| Identità della forza lavoro (utenti, gruppi, appartenenze ai gruppi) | Dalla regione principale alle regioni aggiuntive |
| Set di autorizzazioni e relative assegnazioni a utenti e gruppi | Dalla regione principale alle regioni aggiuntive |
| Configurazione (ad esempio impostazioni SAML IdP esterne) | Dalla regione principale alle regioni aggiuntive |
| Metadati dell'applicazione e assegnazioni delle applicazioni a utenti e gruppi | Dalla regione IAM Identity Center connessa di un'applicazione alle altre regioni abilitate |
| Emittenti di token affidabili | Dalla regione principale alle regioni aggiuntive |
| Sessioni | Dalla regione di origine della sessione alle altre regioni abilitate |
**Nota**
IAM Identity Center non replica i dati archiviati nelle applicazioni AWS gestite. Inoltre, non modifica l'impronta regionale della distribuzione di un'applicazione. Ad esempio, se la tua istanza IAM Identity Center si trova negli Stati Uniti orientali (Virginia settentrionale) e Amazon Redshift è distribuito nella stessa regione, la replica di IAM Identity Center negli Stati Uniti occidentali (Oregon) non influisce sulla regione di distribuzione di Amazon Redshift e sui dati che archivia.
**Considerazioni:**
+ **Identificatori di risorse globali nelle regioni abilitate**: utenti, gruppi, set di autorizzazioni e altre risorse hanno gli stessi identificatori in tutte le regioni abilitate.
+ **La replica non influisce sui ruoli IAM assegnati: i ruoli IAM** esistenti forniti in base alle assegnazioni dei set di autorizzazioni vengono utilizzati durante l'accesso all'account da qualsiasi regione abilitata.
# Accesso alla forza lavoro tramite una regione aggiuntiva
Questa sezione spiega come la forza lavoro può accedere a Portale di accesso AWS, Account AWS e alle applicazioni dopo aver abilitato IAM Identity Center in più regioni.
Portale di accesso AWS In una regione aggiuntiva vengono visualizzati Account AWS i messaggi e le applicazioni a cui la forza lavoro ha accesso nello stesso modo in cui nella regione principale. La tua forza lavoro può accedere Portale di accesso AWS in un'altra regione tramite un collegamento diretto all'endpoint del portale regionale (ad esempio`https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com`) o tramite un'[app di segnalibri](replicate-to-additional-region.md#update-external-idp-setup) configurata nell'IdP esterno.
Puoi utilizzare l' Portale di accesso AWS endpoint in una regione aggiuntiva per autorizzarne l'accesso APIs come utente AWS CLI IAM Identity Center. Questa funzionalità funziona allo stesso modo della regione principale. Tuttavia, le autorizzazioni CLI non vengono replicate tra le regioni abilitate. Pertanto, è necessario autorizzare la CLI in ciascuna regione singolarmente.
## Sessioni utente su più sessioni Regioni AWS
IAM Identity Center replica le sessioni utente dalla regione di origine alle altre regioni abilitate. La revoca della sessione e la disconnessione in una regione vengono replicate anche nelle altre regioni.
### Revoca della sessione da parte degli amministratori di IAM Identity Center
Gli amministratori di IAM Identity Center possono revocare le sessioni utente in regioni aggiuntive. Poiché le sessioni vengono replicate tra le regioni, in condizioni normali è sufficiente revocare una sessione in una singola regione e consentire a IAM Identity Center di replicare la modifica nelle altre regioni abilitate. Se la regione principale di IAM Identity Center presenta un'interruzione, gli amministratori possono eseguire questa operazione in regioni aggiuntive.
## Portale di accesso AWS endpoint primari e aggiuntivi Regioni AWS
Se devi cercare il portale di AWS accesso URLs per le regioni abilitate, procedi nel seguente modo:
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon/).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Scegliere la scheda **Management** (Gestione),
1. Nella sezione **Regioni per IAM Identity Center**, scegli **Visualizza tutto il portale di AWS accesso URLs**.
La tabella seguente specifica gli Portale di accesso AWS endpoint nelle regioni primarie e aggiuntive di un'istanza di IAM Identity Center.
| Portale di accesso AWS endpoint | Regione principale | Regione aggiuntiva | Modello ed esempio di URL |
| --- | --- | --- | --- |
| Classico IPv4 solo 1 | Sì | No | **Pattern**: `https://[Identity Store ID].awsapps.com/start` **Esempio**: `https://d-12345678.awsapps.com/start` |
| Alias personalizzato solo 1 IPv4 | Sì (facoltativo) | No | **Pattern**: `https://[custom alias].awsapps.com/start` **Esempio**: `https://mycompany.awsapps.com/start` |
| Alternativa solo 2 IPv4 | Sì | Sì | **Pattern**: `https://[Identity Center instance ID]. [Region].portal.amazonaws.com` **Esempio**: `https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com` |
| Dual-stack 2 | Sì | Sì | **Pattern**: `https://[Identity Center instance ID].portal. [Region].app.aws` **Esempio**: `https://ssoins-111111h2222j33pp.portal.eu-west-1.app.aws` |
1 In altre regioni, l'alias personalizzato non è supportato e il dominio `awsapps.com` principale non è disponibile.
2 IPv4 Solo gli endpoint alternativi e dual-stack del portale non hanno la parte finale nell'URL. `/start`
## Endpoint Assertion Consumer Service (ACS) negli endpoint primari e aggiuntivi Regioni AWS
Se devi cercare gli ACS URLs o scaricarli come parte dei metadati SAML, segui questi passaggi:
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon/).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Scegli la scheda **Identity source**.
1. Nel menu a discesa **Azioni**, scegli **Gestisci l'autenticazione**.
1. La sezione **dei metadati del fornitore** di servizi mostra l'URL Portale di accesso AWS e l'URL ACS per ogni regione abilitata. IPv4-only e dual-stack URLs vengono visualizzati in schede separate. Se il tuo IdP supporta il caricamento di un file di metadati SAML, puoi scegliere **Scarica il file di metadati per scaricare il file di metadati** SAML con tutti gli ACS. URLs **Se il tuo IdP non supporta il caricamento di un file di metadati o preferisci aggiungere ACS URLs singolarmente, puoi copiare un singolo elemento URLs dalla tabella nella console oppure scegliere **Visualizza URLs ACS** e quindi Copia tutto. URLs** Conserva l'URL ACS già configurato per la regione principale per garantire che il single sign-on SAML avviato dal provider di servizi dalla regione principale rimanga funzionante.
La tabella seguente specifica gli endpoint SAML Assertion Consumer Service (ACS) nelle regioni primarie e aggiuntive di un'istanza di IAM Identity Center:
| Endpoint ACS | Regione principale | Regione aggiuntiva | Modello di URL ed esempio |
| --- | --- | --- | --- |
| IPv4 solo | Sì | Sì | **Pattern**: `https://[Region].signin.aws/platform/saml/acs/[Tenant ID]` **Esempio**: ` https://us-west-2.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111` |
| IPv4 Solo alternativa\$1 | Sì | No | **Pattern**: `https://[Region] .signin.aws.amazon.com/platform/saml/acs/[Tenant ID]` **Esempio**: ` https://us-west-2.signin.aws.amazon.com/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111` |
| Dual-stack | Sì | Sì | **Pattern**: `https://[Region].sso.signin.aws/platform/saml/acs/[Tenant ID]` **Esempio**: ` https://us-west-2.sso.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111` |
\$1 Per le istanze abilitate prima di febbraio 2026, conservate questo endpoint perché è necessario il single sign-on SAML avviato dal provider di servizi per la regione primaria. IAM Identity Center non utilizza questo endpoint per le istanze abilitate a febbraio 2026 o successivamente.
## Utilizzo di applicazioni AWS gestite senza più ACS URLs
Alcuni provider di identità esterni (IdPs) non supportano Multiple Assertion Consumer Service (ACS) URLs nella loro applicazione IAM Identity Center. Gli ACS multipli URLs sono una funzionalità SAML necessaria per l'accesso diretto a una regione specifica in un IAM Identity Center multiregionale.
Ad esempio, se avvii un'applicazione AWS gestita tramite un collegamento all'applicazione, il sistema attiva l'accesso tramite la regione IAM Identity Center connessa all'applicazione. Tuttavia, se l'URL ACS per quella regione non è configurato nell'IdP esterno, l'accesso non riesce.
Per risolvere questo problema, collabora con il tuo fornitore IdP per abilitare il supporto per più ACS. URLs Nel frattempo, puoi comunque utilizzare le applicazioni AWS gestite in altre regioni. Innanzitutto, accedi alla regione il cui URL ACS è configurato nell'IdP esterno (la regione principale per impostazione predefinita). Dopo una sessione attiva in IAM Identity Center, puoi avviare l'applicazione dal portale di AWS accesso in qualsiasi regione abilitata o tramite un collegamento all'applicazione.
# Failover verso una regione aggiuntiva per l'accesso Account AWS
L'argomento dell' Account AWS accesso tramite IAM Identity Center è ampiamente trattato in. [Configurare l'accesso a Account AWS](manage-your-accounts.md) Questa sezione fornisce dettagli aggiuntivi relativi al mantenimento dell' Account AWS accesso tra più utenti Regioni AWS in caso di interruzione del servizio nella regione principale.
Se l'istanza di IAM Identity Center subisce un'interruzione nella regione principale (ad esempio, il portale di AWS accesso nella regione principale non è disponibile), la forza lavoro può passare a un'altra regione per continuare ad accedere a Account AWS s e alle applicazioni non interessate. Per ulteriori informazioni, consulta [Accesso alla forza lavoro tramite una regione aggiuntiva](multi-region-workforce-access.md).
Ti consigliamo di comunicare gli Portale di accesso AWS endpoint in altre regioni e la configurazione dell'IdP esterno (ad esempio le app per aggiungere segnalibri alle regioni aggiuntive) alla tua forza lavoro non appena completi la configurazione in. [Replica IAM Identity Center in un'altra regione](replicate-to-additional-region.md) Ciò consentirà loro di essere pronti per il failover in un'altra regione, se necessario.
Allo stesso modo, consigliamo AWS CLI agli utenti di creare [AWS CLI profili](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) per regioni aggiuntive per ciascuno dei profili che hanno per la regione principale. Quindi, possono passare a quel profilo in caso di interruzione del servizio nella regione principale.
**Nota**
La continuità dell'accesso a Account AWS s dipende anche dallo stato dell'IdP esterno e dalle autorizzazioni, come l'assegnazione di set di autorizzazioni e l'appartenenza ai gruppi, che vengono fornite e replicate prima di un'interruzione del servizio. Consigliamo alla tua organizzazione di configurare anche l'accesso [AWS break-glass per mantenere l' AWS accesso](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.sad.5-implement-break-glass-procedures.html) a un piccolo gruppo di utenti privilegiati in caso di interruzione del servizio da parte dell'IdP esterno. [L'accesso di emergenza](emergency-access.md) è un'opzione simile che evita l'utilizzo di utenti IAM, ma dipende anch'essa dall'IdP esterno.
## Account AWS resilienza di accesso senza più ACS URLs
Alcuni provider di identità esterni (IdPs) non supportano Multiple Assertion Consumer Service (ACS) URLs nella loro applicazione IAM Identity Center. Gli ACS multipli URLs sono una funzionalità SAML necessaria per l'accesso diretto a una regione specifica in un IAM Identity Center multiregionale.
Per consentire agli utenti di accedere alle proprie regioni Account AWS tramite più IAM Identity Center, è necessario configurare il rispettivo ACS regionale URLs nell'IdP esterno. Tuttavia, se l'IdP esterno supporta solo un singolo URL ACS nella propria applicazione IAM Identity Center, gli utenti possono accedere direttamente a una singola regione IAM Identity Center.
Per risolvere questo problema, collabora con il tuo fornitore IdP per abilitare il supporto per più ACS. URLs Nel frattempo, puoi utilizzare regioni aggiuntive come backup per l'accesso a. Account AWS
Se si verifica un'interruzione del servizio IAM Identity Center nella regione principale, è necessario aggiornare l'URL ACS nell'IdP esterno con un URL ACS della regione aggiuntivo. Dopo questo aggiornamento, i tuoi utenti possono accedere al portale di AWS accesso nella regione aggiuntiva utilizzando l'applicazione IAM Identity Center esistente nel portale IdP esterno o tramite un link diretto che condividi con loro.
Ti consigliamo di testare questa configurazione periodicamente per assicurarti che funzioni quando necessario e di comunicare questo processo di failover alla tua organizzazione.
**Nota**
Quando si utilizza una regione aggiuntiva per l'accesso Account AWS in questa configurazione, gli utenti potrebbero non essere in grado di accedere alle applicazioni AWS gestite connesse alla regione principale. Pertanto, consigliamo questa operazione solo come misura temporanea per mantenere l'accesso a Account AWS.
# Distribuzione e gestione di applicazioni in più AWS regioni
L'argomento dell'accesso alle applicazioni tramite IAM Identity Center è ampiamente trattato in. [Configurare l'accesso alle applicazioni](manage-your-applications.md) Questa sezione fornisce dettagli aggiuntivi relativi alla distribuzione e alla gestione delle applicazioni su più piattaforme. Regioni AWS
## Distribuzione e gestione di applicazioni AWS gestite su più piattaforme Regioni AWS
Con un'istanza IAM Identity Center a regione singola, puoi distribuire applicazioni AWS gestite nella stessa regione dell'istanza. Alcune applicazioni come Amazon Q Business supportano una connessione interregionale a IAM Identity Center, che ne consente la distribuzione al di fuori della regione dell'IAM Identity Center se l'applicazione di interesse è disponibile lì. Tuttavia, le chiamate interregionali possono rallentare le prestazioni delle applicazioni e la maggior parte delle applicazioni AWS gestite non supporta questo tipo di connessione.
Un'istanza multiregionale di IAM Identity Center consente di distribuire applicazioni AWS gestite in qualsiasi regione abilitata con una connessione a IAM Identity Center nella stessa regione («connessione locale a livello regionale»). L'implementazione nella regione principale è supportata da tutte le applicazioni gestite integrate. AWS Per confermare quali applicazioni AWS gestite supportano l'implementazione in regioni aggiuntive di IAM Identity Center, consulta la tabella delle applicazioni in[AWS applicazioni gestite che è possibile utilizzare con IAM Identity Center](awsapps-that-work-with-identity-center.md). In ogni caso, l'applicazione AWS gestita deve essere disponibile nella regione in cui desideri distribuirla.
Con una connessione locale a IAM Identity Center, le applicazioni AWS gestite accedono alle identità della forza lavoro nella stessa regione per prestazioni e affidabilità ottimali. [Consigliamo di scegliere una connessione regionale locale quando si distribuisce un'applicazione AWS gestita ogni volta che vengono soddisfatti i prerequisiti.](multi-region-iam-identity-center.md#multi-region-prerequisites)
Per distribuire un'applicazione AWS gestita in un'altra regione di IAM Identity Center, avvia la distribuzione in quella regione tramite la console dell'applicazione o l'API nello stesso modo in cui la distribuisci nella regione principale.
**Considerazioni:**
+ Se non hai ancora replicato il tuo IAM Identity Center in quella regione, ti consigliamo di farlo prima in modo che la distribuzione dell'applicazione possa essere completata immediatamente.
+ AWS le applicazioni gestite, in molti casi, stabiliranno automaticamente una connessione locale a livello regionale se hai già replicato IAM Identity Center nella regione.
+ [Se un'applicazione AWS gestita offre una connessione interregionale a IAM Identity Center, ti consigliamo di scegliere una connessione locale a livello regionale a condizione che siano soddisfatti i prerequisiti.](multi-region-iam-identity-center.md#multi-region-prerequisites)
+ Se l'applicazione non supporta la distribuzione in regioni aggiuntive, puoi distribuirla nella regione principale a condizione che l'applicazione sia disponibile in quella regione.
**Importante**
Se l'istanza di IAM Identity Center è multiregionale, tutte le applicazioni AWS gestite utilizzate dall'organizzazione devono supportare IAM Identity Center configurato con una chiave KMS gestita dal cliente indipendentemente dalla regione di distribuzione dell'applicazione. Confermalo [AWS applicazioni gestite che è possibile utilizzare con IAM Identity Center](awsapps-that-work-with-identity-center.md) prima di distribuire un'applicazione e prima di configurare una chiave KMS gestita dal cliente nel tuo IAM Identity Center.
### Regione di gestione di un'applicazione
Dopo aver distribuito un'applicazione AWS gestita in una regione aggiuntiva di IAM Identity Center utilizzando una connessione locale a livello regionale, gestisci l'applicazione e le relative assegnazioni a utenti e gruppi nella stessa regione. IAM Identity Center replica i metadati dell'applicazione, comprese le assegnazioni a utenti e gruppi, in altre regioni abilitate in modo che la forza lavoro possa avviare applicazioni da qualsiasi regione abilitata.
Se l'applicazione AWS gestita utilizza una connessione interregionale a IAM Identity Center, puoi gestire i dettagli dell'applicazione, come nome e descrizione, e le assegnazioni delle applicazioni a utenti e gruppi tramite la console e l'API di IAM Identity Center nella regione connessa. Indipendentemente dal tipo di connessione, puoi gestire l'applicazione tramite la relativa console nella relativa regione di distribuzione.
### Propagazione attendibile delle identità
Puoi utilizzare la propagazione affidabile delle identità con applicazioni AWS gestite che la supportano in qualsiasi regione abilitata dell'istanza di IAM Identity Center.
Tutte le applicazioni che propagano il contesto dell'identità tra loro devono trovarsi nella stessa regione.
### La dipendenza di un'applicazione dalla regione IAM Identity Center connessa
Ogni applicazione AWS gestita si connette a una regione specifica di IAM Identity Center durante la distribuzione. L'applicazione dipende quindi da quella regione per l'accesso dell'utente, anche se l'IAM Identity Center è abilitato in più regioni. Se il tuo IAM Identity Center sta riscontrando un'interruzione in quella regione, gli utenti potrebbero non essere in grado di accedere alle applicazioni AWS gestite connesse alla regione.
## Implementazione e gestione di applicazioni gestite dai clienti su più applicazioni Regioni AWS
IAM Identity Center supporta SAML e applicazioni [gestite OAuth2 dai clienti](customermanagedapps.md). Puoi scegliere di crearle in qualsiasi regione abilitata della tua istanza IAM Identity Center. Dopo averne creata una, gestisci l'applicazione e le sue assegnazioni a utenti e gruppi nella stessa regione.
# Rimuovi una regione da IAM Identity Center
Per rimuovere una regione aggiuntiva dall'istanza di IAM Identity Center, segui questi passaggi:
## Fase 1: Aggiornamento della configurazione IdP esterna
Puoi scegliere di rimuovere l'URL ACS per questa regione dal tuo IdP esterno o conservarlo nel caso in cui desideri aggiungere nuovamente questa regione in un secondo momento. Ti consigliamo di rimuovere o nascondere l'app per i segnalibri che potresti aver creato per questa Portale di accesso AWS regione.
## Passaggio 2: rimuovere la regione
------
#### [ Console ]
**Per aggiungere una regione**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon/).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Scegliere la scheda **Management** (Gestione),
1. Nella sezione **Regioni per IAM Identity Center**, scegli la regione aggiuntiva che desideri rimuovere.
1. Scegli **Rimuovi**.
1. Prima di confermare la rimozione selezionando **Rimuovi regione**, presta attenzione all'avviso relativo alla potenziale perdita di accesso alle applicazioni create in questa regione di IAM Identity Center. **Se non sei sicuro di disporre di tali applicazioni, scegli Applicazioni nel pannello di navigazione e conferma la regione connessa nella colonna **Creato da** per ogni applicazione AWS gestita e gestita dal cliente.**
**Nota**
Potresti continuare a incorrere in costi per le distribuzioni di applicazioni AWS gestite che sono ancora connesse alla regione rimossa anche se perdi l'accesso a tali applicazioni. Per evitare ciò, è necessario rimuovere queste distribuzioni di applicazioni AWS gestite tramite la console dell'applicazione o l'API prima di rimuovere la regione in IAM Identity Center. Se hai già rimosso la regione IAM Identity Center, puoi ripristinare l'accesso alle applicazioni aggiungendo nuovamente la regione.
1. Nella sezione **Regions for IAM Identity Center**, monitora lo stato della regione. Utilizza il pulsante **Aggiorna** (freccia circolare) per visualizzare lo stato più recente della regione, se necessario. Una volta rimossa, la regione non viene più visualizzata nell'elenco delle regioni.
------
#### [ AWS CLI ]
**Per rimuovere una regione**
```
aws sso-admin remove-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
**Per verificare lo stato attuale della regione**
```
aws sso-admin describe-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
Quando la regione viene rimossa, procedi al passaggio 2.
------
## Passaggio 3: Eliminare la chiave di replica
Puoi scegliere di rimuovere la chiave di replica da questa regione per evitare di incorrere in costi di archiviazione KMS. [Per ulteriori informazioni, vedere Eliminazione di una chiave. AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)
**Importante**
Assicurati di eliminare solo la chiave di replica in questa regione specifica. Le altre regioni IAM Identity Center continuano a fare affidamento sulla chiave KMS nelle altre regioni abilitate per le normali operazioni.
# Il servizio IAM Identity Center è APIs supportato in regioni aggiuntive AWS
| "Hello, World\$1" | Funzionalità in altre regioni |
| --- | --- |
| [API Identity Center](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/api-support-in-additional-regions.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/singlesignon/latest/userguide/api-support-in-additional-regions.html) |
| [API Identity Store](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html) | Operazioni di lettura |
| [API OIDC](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html) | Tutte le operazioni sono supportate |
| [Accedi all'API del portale](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/Welcome.html) | Tutte le operazioni sono supportate |
| [API SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) | Nessuna operazione è supportata |
# AWS CloudTrail eventi di IAM Identity Center nella regione principale e aggiuntiva
In AWS CloudTrail, puoi controllare le azioni intraprese dagli utenti e dagli amministratori di IAM Identity Center su tutte le istanze IAM Identity Center abilitate Regioni AWS . Gli AWS CloudTrail eventi vengono emessi e registrati nella regione in cui si svolge l'azione. Per ulteriori informazioni, consulta [Registrazione e monitoraggio in IAM Identity Center](security-logging-and-monitoring.md).
# Disponibilità di casi d'uso di IAM Identity Center nelle regioni primarie e aggiuntive
| Funzionalità | Disponibilità regionale |
| --- | --- |
| Directory della forza lavoro con un portale per gli utenti | |
| Accesso utente all'accesso al portale e alle sessioni globali, Portale di accesso AWS inclusi (un unico accesso per tutte le regioni) | Tutte le regioni abilitate |
| Visualizzazione di tutti gli account assegnati | Tutte le regioni abilitate |
| Visualizzazione di tutte le applicazioni assegnate (indipendentemente da dove sono state create le applicazioni) | Tutte le regioni abilitate |
| Accesso in lettura a utenti, gruppi e appartenenze nella AWS console o tramite Identity Store APIs | Tutte le regioni abilitate |
| Revoca le sessioni utente | Tutte le regioni abilitate |
| Sincronizzazione automatica di utenti e gruppi da una fonte di identità esterna, ad esempio IdP esterna, tramite l'API SCIM o l'API Identity Store | Solo regione primaria |
| Configura il provisioning automatico delle identità con SCIM | Solo regione primaria |
| Configurare SAML SSO con un IdP esterno | Solo regione primaria: accesso alla lettura tramite la console in tutte le regioni abilitate |
| Create/update/deleteoperazioni su utenti, gruppi e appartenenze ai gruppi tramite la console o Identity Store APIs. | Regione primaria: disponibile tramite l'API Identity Store ma bloccata nella console IAM Identity Center quando l'API SCIM viene utilizzata per il provisioning (tranne disable/enable l'accesso utente e l'eliminazione degli utenti, che sono sempre disponibili). Regioni aggiuntive: non disponibili |
| Accesso multiaccount | |
| Accedi agli account assegnati tramite i collegamenti Portale di accesso AWS AWS CLI, e di scelta rapida | Tutte le regioni abilitate |
| Gestisci i set di autorizzazioni per più account e le relative assegnazioni nella console e APIs (incluso l'accesso temporaneo con privilegi elevati) | Solo regione principale |
| Accesso ad applicazioni e AWS servizi | |
| AWS Implementa applicazioni gestite tramite la console delle applicazioni e APIs | Tutte le regioni abilitate, in base alla disponibilità regionale delle applicazioni e al supporto per la distribuzione in aree aggiuntive |
| Crea applicazioni gestite dai clienti tramite la console Identity Center e APIs | Tutte le regioni abilitate |
| Gestisci i metadati e le assegnazioni delle applicazioni nella console e APIs | Regione IAM Identity Center connessa all'applicazione |
| Avvia le applicazioni da Portale di accesso AWS o direttamente tramite un link all'applicazione o un segnalibro | Tutte le regioni abilitate |
| Istanze da SSO a Amazon EC2 | Tutte le regioni abilitate |
| Propagazione affidabile delle identità | |
| Creazione di un emittente del token affidabile | Solo regione principale |
| Propagazione affidabile delle identità con applicazioni AWS gestite | Tutte le regioni abilitate: le applicazioni che propagano il contesto di identità tra loro devono trovarsi nella stessa regione |
| Altre funzionalità amministrative | |
| Tutte le altre funzionalità amministrative come la gestione delle regioni, la gestione delle chiavi KMS, la gestione delle istanze e la gestione delle sessioni (tranne la revoca della sessione) | Solo regione principale: accesso alla lettura disponibile in tutte le aree abilitate per alcuni dati (escluse le assegnazioni dei set di autorizzazioni) |