翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM Identity Center を追加のリージョンにレプリケートする
マルチリージョンのカスタマーマネージド KMS キーを使用して IAM アイデンティティセンターを設定するなど、環境が前提条件を満たしている場合は、次のステップを実行して IAM アイデンティティセンターインスタンスを別のリージョンにレプリケートします。プライマリリージョンは、これらのステップ中およびステップ後に正常に動作し続けます。
ステップ 1: 追加のリージョンにレプリカキーを作成する
IAM Identity Center をリージョンにレプリケートする前に、まずそのリージョンでカスタマーマネージド KMS キーのレプリカキーを作成し、IAM Identity Center のオペレーションに必要なアクセス許可を持つレプリカキーを設定する必要があります。マルチリージョンレプリカキーを作成する手順については、「マルチリージョンレプリカキーの作成」を参照してください。
KMS キーアクセス許可の推奨アプローチは、プライマリキーからキーポリシーをコピーすることです。プライマリキーは、プライマリリージョンの IAM Identity Center に対して既に確立されたのと同じアクセス許可を付与します。または、リージョン固有のキーポリシーを定義することもできますが、このアプローチではリージョン間のアクセス許可の管理が複雑になり、将来ポリシーを更新するときに追加の調整が必要になる場合があります。
注記
AWS KMS は、マルチリージョン KMS キーのリージョン間で KMS キーポリシーを同期しません。KMS キーポリシーを KMS キーリージョン間で同期させるには、各リージョンに変更を個別に適用する必要があります。
ステップ 2: IAM アイデンティティセンターにリージョンを追加する
IAM アイデンティティセンターにリージョンを追加すると、そのリージョンへの IAM アイデンティティセンターデータの自動レプリケーションがトリガーされます。レプリケーションは結果整合性と非同期です。以下のタブでは、 AWS マネジメントコンソール および でこれを行う手順について説明します AWS CLI。
追加のリージョンへの最初のレプリケーションの期間は、IAM Identity Center インスタンスのデータ量によって異なります。後続の増分変更は、ほとんどの場合、数秒以内にレプリケートされます。
ステップ 3: 外部 IdP 設定を更新する
次の手順については、 の外部 IdP IAM アイデンティティセンターの ID ソースに関するチュートリアルのチュートリアルに従ってください。
ステップ 3.a: アサーションコンシューマーサービス (ACS) URLs を外部 IdP に追加する
このステップでは、追加の各リージョンへの直接サインインを有効にし、それらのリージョンにデプロイされた AWS マネージドアプリケーションへのサインインを有効にし、それらのリージョン AWS アカウントを介して にアクセスするために必要です。ACS URLs「」を参照してくださいプライマリおよび追加の ACS エンドポイント AWS リージョン。
ステップ 3.b (オプション): を外部 IdP ポータル AWS アクセスポータル で使用できるようにする
追加のリージョン AWS アクセスポータル の を、外部 IdP ポータルのブックマークアプリとして利用できるようにします。ブックマークアプリには、目的の宛先へのリンク (URL) のみが含まれており、ブラウザのブックマークに似ています。コンソールで URL を見つけるには、 AWS アクセスポータル URLs 「IAM アイデンティティセンターのリージョン」セクションで AWS アクセスポータル URLs」を選択します。 詳細については、「AWS アクセスポータル プライマリおよび追加の のエンドポイント AWS リージョン」を参照してください。
IAM Identity Center は、追加のリージョンごとに IdP が開始する SAML SSO をサポートしますが、外部 IdPs、単一の ACS URL でのみこれをサポートします。継続性を確保するために、プライマリリージョンの ACS URL を IdP 開始 SAML SSO に使用したままにし、ブックマークアプリケーションとブラウザのブックマークを使用して追加のリージョンにアクセスすることをお勧めします。
ステップ 4: ファイアウォールとゲートウェイの許可リストを確認する
ファイアウォールまたはゲートウェイのドメイン許可リストを確認し、文書化された許可リストに基づいて更新します。
ステップ 5: ユーザーに情報を提供する
追加のリージョンの AWS アクセスポータル URL や追加のリージョンの使用方法など、新しいセットアップに関する情報をユーザーに提供します。関連する詳細については、以下のセクションを参照してください。
最初のリージョンの追加以外のリージョンの変更
追加のリージョンを追加または削除できます。IAM Identity Center インスタンス全体を削除しない限り、プライマリリージョンを削除することはできません。リージョンの削除の詳細については、「」を参照してくださいIAM Identity Center からリージョンを削除する。
追加リージョンをプライマリに昇格させたり、追加するプライマリリージョンを降格したりすることはできません。
レプリケートされるデータ
IAM Identity Center は、次のデータをレプリケートします。
| データ | レプリケーションソースとターゲット |
|---|---|
| ワークフォース ID (ユーザー、グループ、グループメンバーシップ) | プライマリリージョンから追加のリージョンへ |
| アクセス許可セットとそのユーザーとグループへの割り当て | プライマリリージョンから追加のリージョンへ |
| 設定 (外部 IdP SAML 設定など) | プライマリリージョンから追加のリージョンへ |
| ユーザーとグループへのアプリケーションメタデータとアプリケーション割り当て | アプリケーションの接続された IAM アイデンティティセンターリージョンから他の有効なリージョンへ |
| 信頼できるトークン発行者 | プライマリリージョンから追加のリージョンへ |
| セッション | セッションの送信元のリージョンから他の有効なリージョンへ |
注記
IAM Identity Center は、 AWS マネージドアプリケーションに保存されているデータをレプリケートしません。また、アプリケーションデプロイのリージョンフットプリントは変更されません。たとえば、米国東部 (バージニア北部) の の IAM アイデンティティセンターインスタンスで、Amazon Redshift が同じリージョンにデプロイされている場合、IAM アイデンティティセンターを米国西部 (オレゴン) にレプリケートしても、Amazon Redshift のデプロイリージョンとそれが保存するデータには影響しません。
考慮事項:
-
有効なリージョン全体のグローバルリソース識別子 - ユーザー、グループ、アクセス許可セット、およびその他のリソースは、有効なリージョン全体で同じ識別子を持ちます。
-
レプリケーションはプロビジョニングされた IAM ロールには影響しません - アクセス許可セットの割り当てからプロビジョニングされた既存の IAM ロールは、有効なリージョンからのアカウントサインイン中に使用されます。
