기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 여러에서 IAM Identity Center 사용 AWS 리전
이 주제에서는 여러 AWS IAM Identity Center 에서를 사용하는 방법을 설명합니다 AWS 리전. 서비스 중단 중에 인스턴스를 추가 리전에 복제하고, 인력 액세스 및 세션을 관리하고, 애플리케이션을 배포하고, 계정 액세스를 유지하는 방법을 알아봅니다.
IAM Identity Center의 조직 인스턴스를 활성화할 때 단일 AWS 리전 (기본 리전)을 선택합니다. 특정 사전 조건을 충족하는 AWS 리전 경우이 인스턴스를에 추가로 복제할 수 있습니다. IAM Identity Center는 기본 리전에서 선택한 추가 리전으로 인력 자격 증명, 권한 세트, 사용자 및 그룹 할당, 세션 및 기타 메타데이터를 자동으로 복제합니다.
## 다중 리전 지원의 이점
IAM Identity Center를 추가로 복제하면 두 가지 주요 이점 AWS 리전 이 있습니다.
+ ** AWS 계정 액세스 복원력 향상** - IAM Identity Center 인스턴스가 기본 리전에서 서비스 중단을 겪더라도 작업 인력이 AWS 계정에 액세스할 수 있습니다. 이는 중단 전에 프로비저닝된 권한이 있는 액세스에 적용됩니다.
+ ** AWS 관리형 애플리케이션의 배포 리전 선택 유연성 향상** - 선호하는 리전에 AWS 관리형 애플리케이션을 배포하여 애플리케이션 데이터 레지던시 요구 사항을 충족하고 사용자와의 근접성을 통해 성능을 개선할 수 있습니다. 추가 리전에 배포된 애플리케이션은 최적의 성능과 신뢰성을 위해 복제된 작업 인력 ID에 로컬로 액세스합니다.
## 필수 조건 및 고려 사항
IAM Identity Center 인스턴스를 복제하기 전에 다음 요구 사항을 충족하는지 확인합니다.
+ **인스턴스 유형** - IAM Identity Center 인스턴스는 [조직 인스턴스](organization-instances-identity-center.md)여야 합니다. [ 계정 인스턴스](account-instances-identity-center.md)에서는 다중 리전 지원을 사용할 수 없습니다.
+ **ID 소스** - IAM Identity Center 인스턴스를와 같은 외부 ID 제공업체(IdP)에 연결해야 합니다[https://www.okta.com/](https://www.okta.com/). [Active Directory](gs-ad.md) 또는 [Identity Center 디렉터리](quick-start-default-idc.md)를 ID 소스로 사용하는 인스턴스에서는 다중 리전 지원을 사용할 수 없습니다.
+ **AWS 리전** - 다중 리전 지원은에서 [기본적으로 활성화된 상용 리전](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)에서 사용할 수 있습니다 AWS 계정. 옵트인 리전은 현재 지원되지 않습니다.
+ 유**휴 시 암호화를 위한 KMS 키 유형** - IAM Identity Center 인스턴스는 다중 리전 [고객 관리형 KMS 키](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html)로 구성해야 합니다. KMS 키는 IAM Identity Center와 동일한 AWS 계정에 있어야 합니다. 자세한 내용은 [에서 고객 관리형 KMS 키 구현 AWS IAM Identity Center](identity-center-customer-managed-keys.md) 단원을 참조하십시오.
+ **AWS 관리형 애플리케이션 호환성** -의 애플리케이션 테이블[AWS IAM Identity Center와 함께 사용할 수 있는 관리형 애플리케이션](awsapps-that-work-with-identity-center.md)을 방문하여 다음 두 가지 애플리케이션 요구 사항을 확인합니다.
+ 조직에서 사용 중인 모든 AWS 관리형 애플리케이션은 고객 관리형 KMS 키로 구성된 IAM Identity Center를 지원해야 합니다.
+ 추가 리전에 배포하려는 AWS 관리형 애플리케이션은 이러한 유형의 배포를 지원해야 합니다.
+ **외부 IdP 호환성 **- 다중 리전 지원을 완전히 활용하려면 외부 IdP가 여러 어설션 소비자 서비스(ACS) URLs 지원해야 합니다. , Okta, PingFederateMicrosoft Entra ID, PingOne 및 JumpCloud와 같은 IdPs에서 지원하는 SAML 기능입니다.
와 같이 여러 ACS URLs 지원하지 않는 IdP를 사용하는 경우 IdP 공급업체와 협력하여이 기능을 활성화하는 Google Workspace것이 좋습니다. 여러 ACS URLs[AWS 계정 여러 ACS URLs 없이 복원력에 액세스](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url). [여러 ACS URLs 없이 AWS 관리형 애플리케이션 사용](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)
## 추가 리전 선택
기본적으로 활성화된 상용 리전 중에서 추가 리전을 선택할 때는 다음 요소를 고려하세요.
+ **규정 준수 요구 사항** - 규정 준수를 위해 특정 리전으로 제한된 데이터 세트에 액세스하는 관리형 애플리케이션을 실행 AWS 해야 하는 경우 데이터 세트가 있는 리전을 선택합니다.
+ **성능 최적화** - 데이터 레지던시가 요인이 아닌 경우 애플리케이션 사용자와 가장 가까운 리전을 선택하여 경험을 최적화합니다.
+ **애플리케이션 지원** - 선택한 리전에서 필요한 AWS 애플리케이션을 사용할 수 있는지 확인합니다.
+ **AWS 계정 액세스 복원력 **- AWS 계정에 대한 액세스 연속성을 위해 IAM Identity Center 인스턴스의 기본 리전에서 지리적으로 멀리 떨어진 리전을 선택합니다.
**참고**
IAM Identity Center에는의 수에 대한 할당량이 있습니다 AWS 리전. 자세한 내용은 [추가 할당량](limits.md#additionallimits) 단원을 참조하십시오.
# IAM Identity Center를 추가 리전에 복제
환경이 다중 리전 고객 관리형 KMS 키로 IAM Identity Center를 구성하는 등의 [사전 조건을](multi-region-iam-identity-center.md#multi-region-prerequisites) 충족하는 경우 다음 단계를 완료하여 IAM Identity Center 인스턴스를 추가 리전에 복제합니다. 기본 리전은 이러한 단계 도중과 이후에도 계속 정상적으로 작동합니다.
## 1단계: 추가 리전에서 복제본 키 생성
IAM Identity Center를 리전에 복제하기 전에 먼저 해당 리전에서 고객 관리형 KMS 키의 복제본 키를 생성하고 IAM Identity Center 운영에 필요한 권한으로 복제본 키를 구성해야 합니다. 다중 리전 복제본 키 생성에 대한 지침은 [다중 리전 복제본 키 생성을](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-replicate.html) 참조하세요.
KMS 키 권한에 권장되는 접근 방식은 기본 키에서 키 정책을 복사하는 것입니다. 기본 키는 기본 리전의 IAM Identity Center에 이미 설정된 것과 동일한 권한을 부여합니다. 또는 리전별 키 정책을 정의할 수 있지만이 접근 방식은 리전 간 권한 관리의 복잡성을 높이고 향후 정책을 업데이트할 때 추가 조정이 필요할 수 있습니다.
**참고**
AWS KMS 는 다중 리전 KMS 키의 리전 간에 KMS 키 정책을 동기화하지 않습니다. KMS 키 리전 간에 KMS 키 정책을 동기화된 상태로 유지하려면 각 리전에서 변경 사항을 개별적으로 적용해야 합니다.
## 2단계: IAM Identity Center에서 리전 추가
IAM Identity Center에 리전을 추가하면 IAM Identity Center 데이터가 해당 리전으로 자동 복제됩니다. 복제는 비동기식이며 최종 일관성이 유지됩니다. 다음 탭은 AWS Management Console 및에서이 작업을 수행하는 지침을 제공합니다 AWS CLI.
------
#### [ Console ]
**리전을 추가하려면**
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon/)을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. [**Management**] 탭을 선택한 후
1. **IAM Identity Center의 리전** 섹션에서 **리전 추가**를 선택합니다.
1. **AWS 리전 복제에 사용 가능한** 섹션에서 원하는 항목을 선택합니다 AWS 리전. 리전이 목록에 표시되지 않으면 KMS 키가 복제되지 않았기 때문에 복제할 수 없습니다. 자세한 내용은 [에서 고객 관리형 KMS 키 구현 AWS IAM Identity Center](identity-center-customer-managed-keys.md) 단원을 참조하십시오.
1. **리전 추가**를 선택합니다.
1. **IAM Identity Center의 리전** 섹션에서 리전 상태를 모니터링합니다. 새로 **고침** 버튼(원형 화살표)을 사용하여 필요에 따라 최신 리전 상태를 확인합니다. 복제가 완료되면 2단계로 진행합니다.
------
#### [ AWS CLI ]
**리전을 추가하려면**
```
aws sso-admin add-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
**현재 리전 상태를 확인하려면**
```
aws sso-admin describe-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
리전 상태가 ACTIVE이면 2단계로 진행할 수 있습니다.
------
추가 리전으로의 초기 복제 기간은 IAM Identity Center 인스턴스의 데이터 양에 따라 달라집니다. 후속 증분 변경 사항은 대부분의 경우 몇 초 내에 복제됩니다.
## 3단계: 외부 IdP 설정 업데이트
다음 단계는의 외부 IdP에 [IAM Identity Center의 ID 소스 자습서](tutorials.md) 대한 자습서를 따릅니다.
**3.a단계: 외부 IdP에 어설션 소비자 서비스(ACS) URLs 추가**
이 단계에서는 각 추가 리전에 직접 로그인할 수 있으며 해당 리전에 배포된 AWS 관리형 애플리케이션에 로그인하고 해당 리전을 AWS 계정통해에 액세스하려면 필요합니다. ACS URLs[기본 및 추가의 ACS 엔드포인트 AWS 리전](multi-region-workforce-access.md#acs-endpoints).
**3.b단계(선택 사항): 외부 IdP 포털에서를 AWS 액세스 포털 사용할 수 있도록 설정**
추가 리전 AWS 액세스 포털 의를 외부 IdP 포털에서 북마크 앱으로 사용할 수 있도록 합니다. 북마크 앱에는 원하는 대상에 대한 링크(URL)만 포함되며 브라우저 북마크와 유사합니다. **IAM Identity Center의 리전** 섹션에서 allURL 보기를 선택하여 AWS 액세스 포털 URLs 콘솔에서 URL을 찾을 수 있습니다. ** AWS 액세스 포털 URLs** 자세한 내용은 [AWS 액세스 포털 기본 및 추가의 엔드포인트 AWS 리전](multi-region-workforce-access.md#portal-endpoints) 단원을 참조하십시오.
IAM Identity Center는 각 추가 리전에서 IdP 시작 SAML SSO를 지원하지만 외부 IdPs 일반적으로 단일 ACS URL에서만 이를 지원합니다. 연속성을 위해 기본 리전의 ACS URL을 IdP 시작 SAML SSO에 사용하고 북마크 앱 및 브라우저 북마크를 사용하여 추가 리전에 액세스하는 것이 좋습니다.
## 4단계: 방화벽 및 게이트웨이 허용 목록 확인
방화벽 또는 게이트웨이에서 도메인 허용 목록을 검토하고 [문서화된 허용 목록에 따라 업데이트합니다](enable-identity-center-portal-access.md).
## 5단계: 사용자에게 정보 제공
추가 리전의 AWS 액세스 포털 URL과 추가 리전 사용 방법을 포함하여 새 설정에 대한 정보를 사용자에게 제공합니다. 관련 세부 정보는 다음 섹션을 검토하세요.
+ [추가 리전을 통한 인력 액세스](multi-region-workforce-access.md)
+ [AWS 계정 액세스를 위해 추가 리전으로 장애 조치](multi-region-failover.md)
+ [여러 AWS 리전에 애플리케이션 배포 및 관리](multi-region-application-use.md)
## 첫 번째 리전 추가 이후 리전 변경
추가 리전을 추가 및 제거할 수 있습니다. 전체 IAM Identity Center 인스턴스를 삭제하는 것 외에는 기본 리전을 제거할 수 없습니다. 리전 제거에 대한 자세한 내용은 섹션을 참조하세요[IAM Identity Center에서 리전 제거](remove-region.md).
추가 리전을 기본 리전으로 승격하거나 기본 리전을 추가 리전으로 강등할 수 없습니다.
## 복제되는 데이터는 무엇입니까?
IAM Identity Center는 다음 데이터를 복제합니다.
| 데이터 | 복제 소스 및 대상 |
| --- | --- |
| 직원 자격 증명(사용자, 그룹, 그룹 멤버십) | 기본 리전에서 추가 리전으로 |
| 사용자 및 그룹에 대한 권한 세트 및 할당 | 기본 리전에서 추가 리전으로 |
| 구성(예: 외부 IdP SAML 설정) | 기본 리전에서 추가 리전으로 |
| 사용자 및 그룹에 대한 애플리케이션 메타데이터 및 애플리케이션 할당 | 애플리케이션의 연결된 IAM Identity Center 리전에서 활성화된 다른 리전으로 |
| 신뢰할 수 있는 토큰 발급자 | 기본 리전에서 추가 리전으로 |
| 세션 | 세션의 발신 리전에서 활성화된 다른 리전으로 |
**참고**
IAM Identity Center는 AWS 관리형 애플리케이션에 저장된 데이터를 복제하지 않습니다. 또한 애플리케이션 배포의 리전 공간도 변경되지 않습니다. 예를 들어 미국 동부(버지니아 북부)의에 있는 IAM Identity Center 인스턴스가 동일한 리전에 Amazon Redshift를 배포한 경우 IAM Identity Center를 미국 서부(오레곤)로 복제해도 Amazon Redshift의 배포 리전과 해당 인스턴스에 저장된 데이터에 영향을 주지 않습니다.
**고려 사항:**
+ **활성화된 리전의 글로벌 리소스 식별자** - 사용자, 그룹, 권한 세트 및 기타 리소스는 활성화된 리전에서 동일한 식별자를 갖습니다.
+ **복제는 프로비저닝된 IAM 역할에 영향을 주지 않음** - 권한 세트 할당에서 프로비저닝된 기존 IAM 역할은 활성화된 모든 리전에서 계정 로그인 중에 사용됩니다.
# 추가 리전을 통한 인력 액세스
이 섹션에서는 여러 리전에서 IAM Identity Center를 활성화한 경우 작업 인력 AWS 액세스 포털 AWS 계정이 및 애플리케이션에 액세스하는 방법을 설명합니다.
추가 리전의 AWS 계정에는 기본 리전 AWS 액세스 포털 과 동일한 방식으로 작업 인력이 액세스할 수 있는 및 애플리케이션이 표시됩니다. 작업 인력은 리전 포털 엔드포인트에 대한 직접 링크(예: `https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com`) 또는 외부 IdP AWS 액세스 포털 에서 설정한 [북마크 앱을](replicate-to-additional-region.md#update-external-idp-setup) 통해 추가 리전의에 로그인할 수 있습니다.
추가 리전의 AWS 액세스 포털 엔드포인트를 사용하여 IAM Identity Center 사용자로 APIs AWS CLI 에 액세스할 수 있도록에 권한을 부여할 수 있습니다. 이 기능은 기본 리전과 동일한 방식으로 작동합니다. 그러나 CLI 권한 부여는 활성화된 리전 간에 복제되지 않습니다. 따라서 각 리전에서 CLI를 개별적으로 승인해야 합니다.
## 여러의 사용자 세션 AWS 리전
IAM Identity Center는 원래 리전에서 다른 활성화된 리전으로 사용자 세션을 복제합니다. 한 리전의 세션 취소 및 로그아웃도 다른 리전에 복제됩니다.
### IAM Identity Center 관리자의 세션 취소
IAM Identity Center 관리자는 추가 리전에서 사용자 세션을 취소할 수 있습니다. 세션이 리전 간에 복제되므로 정상적인 조건에서는 단일 리전에서 세션을 취소하고 IAM Identity Center가 변경 사항을 다른 활성화된 리전으로 복제하는 것으로 충분합니다. IAM Identity Center의 기본 리전에 중단이 있는 경우 관리자는 추가 리전에서이 작업을 수행할 수 있습니다.
## AWS 액세스 포털 기본 및 추가의 엔드포인트 AWS 리전
활성화된 리전의 AWS 액세스 포털 URLs을 조회해야 하는 경우 다음 단계를 따르세요.
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon/)을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. [**Management**] 탭을 선택한 후
1. **IAM Identity Center의 리전** 섹션에서 **모든 AWS 액세스 포털 URLs 보기를** 선택합니다.
다음 표는 IAM Identity Center 인스턴스의 기본 및 추가 리전에서 AWS 액세스 포털 엔드포인트를 지정합니다.
| AWS 액세스 포털 엔드포인트 | 기본 리전 | 추가 리전 | URL 패턴 및 예제 |
| --- | --- | --- | --- |
| 클래식 IPv4 전용1 | 예 | 아니요 | **Pattern**: `https://[Identity Store ID].awsapps.com/start` **예**: `https://d-12345678.awsapps.com/start` |
| 사용자 지정 별칭 IPv4 전용1 | 예(선택 사항) | 아니요 | **Pattern**: `https://[custom alias].awsapps.com/start` **예**: `https://mycompany.awsapps.com/start` |
| 대체 IPv4 전용2 | 예 | 예 | **Pattern**: `https://[Identity Center instance ID]. [Region].portal.amazonaws.com` **예**: `https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com` |
| 듀얼 스택2 | 예 | 예 | **Pattern**: `https://[Identity Center instance ID].portal. [Region].app.aws` **예**: `https://ssoins-111111h2222j33pp.portal.eu-west-1.app.aws` |
1 추가 리전에서는 사용자 지정 별칭이 지원되지 않으며 `awsapps.com` 상위 도메인을 사용할 수 없습니다.
2 대체 IPv4 전용 및 듀얼 스택 포털 엔드포인트에는 URL`/start`에 후행이 없습니다.
## 기본 및 추가의 어설션 소비자 서비스(ACS) 엔드포인트 AWS 리전
ACS URLs을 조회하거나 SAML 메타데이터의 일부로 다운로드해야 하는 경우 다음 단계를 따르세요.
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon/)을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **자격 증명 소스** 탭을 선택합니다.
1. **작업** 드롭다운 메뉴에서 **인증 관리를** 선택합니다.
1. **서비스 공급자 메타데이터** 섹션에는 활성화된 각 리전의 AWS 액세스 포털 및 ACS URL이 표시됩니다. IPv4-only 및 듀얼 스택 URLs은 별도의 탭에 표시됩니다. IdP가 SAML 메타데이터 파일 업로드를 지원하는 경우 **메타데이터 파일 다운로드**를 선택하여 모든 ACS URLs. IdP가 메타데이터 파일 업로드를 지원하지 않거나 ACS URLs 개별적으로 추가하려는 경우 콘솔의 테이블에서 개별 URLs을 복사하거나 **ACS URLs 보기를** 선택한 다음 **모든 URLs**. 기본 리전에서 서비스 공급자가 시작한 SAML Single Sign-On이 계속 작동하도록 기본 리전에 대해 이미 구성된 ACS URL을 유지합니다.
다음 표는 IAM Identity Center 인스턴스의 기본 및 추가 리전에서 SAML 어설션 소비자 서비스(ACS) 엔드포인트를 지정합니다.
| ACS 엔드포인트 | 기본 리전 | 추가 리전 | URL 패턴 및 예제 |
| --- | --- | --- | --- |
| IPv4 전용 | 예 | 예 | **Pattern**: `https://[Region].signin.aws/platform/saml/acs/[Tenant ID]` **예**: ` https://us-west-2.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111` |
| 대체 IPv4 전용\$1 | 예 | 아니요 | **Pattern**: `https://[Region] .signin.aws.amazon.com/platform/saml/acs/[Tenant ID]` **예**: ` https://us-west-2.signin.aws.amazon.com/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111` |
| 이중 스택 | 예 | 예 | **Pattern**: `https://[Region].sso.signin.aws/platform/saml/acs/[Tenant ID]` **예**: ` https://us-west-2.sso.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111` |
\$1 2026년 2월 이전에 활성화된 인스턴스의 경우 서비스 공급자가 시작한 기본 리전에 대한 SAML Single Sign-On에 필요하므로이 엔드포인트를 유지합니다. IAM Identity Center는 2026년 2월 이후에 활성화된 인스턴스에는이 엔드포인트를 사용하지 않습니다.
## 여러 ACS URLs 없이 AWS 관리형 애플리케이션 사용
일부 외부 ID 제공업체(IdPs)는 IAM Identity Center 애플리케이션에서 여러 어설션 소비자 서비스(ACS) URLs을 지원하지 않습니다. 다중 ACS URLs은 다중 리전 IAM Identity Center의 특정 리전에 직접 로그인하는 데 필요한 SAML 기능입니다.
예를 들어 애플리케이션 링크를 통해 AWS 관리형 애플리케이션을 시작하면 시스템은 애플리케이션의 연결된 IAM Identity Center 리전을 통해 로그인을 트리거합니다. 그러나 해당 리전의 ACS URL이 외부 IdP에 구성되지 않은 경우 로그인이 실패합니다.
이 문제를 해결하려면 IdP 공급업체와 협력하여 여러 ACS URLs에 대한 지원을 활성화합니다. 그 동안에도 추가 리전에서 AWS 관리형 애플리케이션을 계속 사용할 수 있습니다. 먼저 외부 IdP에 ACS URL이 구성된 리전(기본 리전)에 로그인합니다. IAM Identity Center에 활성 세션이 있으면 활성화된 리전의 AWS 액세스 포털에서 또는 애플리케이션 링크를 통해 애플리케이션을 시작할 수 있습니다.
# AWS 계정 액세스를 위해 추가 리전으로 장애 조치
IAM Identity Center를 통한 AWS 계정 액세스 주제는에서 광범위하게 다룹니다[에 대한 액세스 구성 AWS 계정](manage-your-accounts.md). 이 섹션에서는 기본 리전 AWS 리전 에서 서비스 중단이 발생할 경우 여러에서 AWS 계정 액세스를 유지하는 것과 관련된 추가 세부 정보를 제공합니다.
IAM Identity Center 인스턴스가 기본 리전에서 중단되는 경우(예: 기본 리전의 AWS 액세스 포털을 사용할 수 없음) 작업 인력은 추가 리전으로 전환하여 AWS 계정및 영향을 받지 않는 애플리케이션에 계속 액세스할 수 있습니다. 자세한 내용은 [추가 리전을 통한 인력 액세스](multi-region-workforce-access.md) 단원을 참조하십시오.
에서 설정을 완료하는 즉시 추가 리전의 AWS 액세스 포털 엔드포인트와 외부 IdP 설정(예: 추가 리전의 북마크 앱)을 작업 인력에게 전달하는 것이 좋습니다[IAM Identity Center를 추가 리전에 복제](replicate-to-additional-region.md). 이렇게 하면 필요한 경우 추가 리전으로 장애 조치를 수행할 준비가 됩니다.
마찬가지로 AWS CLI 사용자는 기본 리전에 대해 보유한 각 [AWS CLI 프로필](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html)에 대해 추가 리전에 대한 프로필을 생성하는 것이 좋습니다. 그런 다음 기본 리전에 서비스 중단이 있는 경우 해당 프로필로 전환할 수 있습니다.
**참고**
또한 AWS 계정에 대한 액세스 연속성은 외부 IdP의 상태와 서비스 중단 전에 프로비저닝되고 복제되는 권한 세트 할당 및 그룹 멤버십과 같은 권한에 따라 달라집니다. 또한 외부 IdP에 서비스 중단이 있을 때 권한이 있는 소규모 사용자 그룹에 대한 AWS 액세스를 유지하려면 조직에서 [AWS 브레이크 글](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.sad.5-implement-break-glass-procedures.html)래스 액세스를 설정하는 것이 좋습니다. [긴급 액세스](emergency-access.md)는 IAM 사용자를 사용하지 않는 유사한 옵션이지만 외부 IdP에도 의존합니다.
## AWS 계정 여러 ACS URLs 없이 복원력에 액세스
일부 외부 ID 제공업체(IdPs)는 IAM Identity Center 애플리케이션에서 여러 어설션 소비자 서비스(ACS) URLs을 지원하지 않습니다. 다중 ACS URLs은 다중 리전 IAM Identity Center의 특정 리전에 직접 로그인하는 데 필요한 SAML 기능입니다.
사용자가 여러 IAM Identity Center 리전을 AWS 계정 통해에 액세스할 수 있도록 하려면 외부 IdP에서 해당 리전 ACS URLs을 구성해야 합니다. 그러나 외부 IdP가 IAM Identity Center 애플리케이션에서 단일 ACS URL만 지원하는 경우 사용자는 단일 IAM Identity Center 리전에 직접 로그인할 수 있습니다.
이 문제를 해결하려면 IdP 공급업체와 협력하여 여러 ACS URLs에 대한 지원을 활성화합니다. 그 동안 추가 리전을 액세스를 위한 백업으로 사용할 수 있습니다 AWS 계정.
기본 리전에서 IAM Identity Center 서비스 중단이 발생하는 경우 외부 IdP의 ACS URL을 추가 리전의 ACS URL로 업데이트해야 합니다. 이 업데이트 후 사용자는 외부 IdP 포털의 기존 IAM Identity Center 애플리케이션을 사용하거나 공유한 직접 링크를 통해 추가 리전의 AWS 액세스 포털에 액세스할 수 있습니다.
이 설정을 주기적으로 테스트하여 필요할 때 작동하는지 확인하고이 장애 조치 프로세스를 조직에 알리는 것이 좋습니다.
**참고**
이 설정 AWS 계정 에서에 액세스하기 위해 추가 리전을 사용하는 경우 사용자가 기본 리전에 연결된 AWS 관리형 애플리케이션에 액세스하지 못할 수 있습니다. 따라서 이는에 대한 액세스를 유지하기 위한 임시 조치로만 사용하는 것이 좋습니다 AWS 계정.
# 여러 AWS 리전에 애플리케이션 배포 및 관리
IAM Identity Center를 통한 애플리케이션 액세스 주제는에서 광범위하게 다룹니다[애플리케이션에 대한 액세스 구성](manage-your-applications.md). 이 섹션에서는 여러에서 애플리케이션의 배포 및 관리와 관련된 추가 세부 정보를 제공합니다 AWS 리전.
## 여러에 관리형 AWS 애플리케이션 배포 및 관리 AWS 리전
단일 리전 IAM Identity Center 인스턴스를 사용하면 인스턴스와 동일한 리전에 AWS 관리형 애플리케이션을 배포할 수 있습니다. Amazon Q Business와 같은 일부 애플리케이션은 IAM Identity Center에 대한 리전 간 연결을 지원하므로 관심 애플리케이션을 사용할 수 있는 경우 IAM Identity Center의 리전 외부에서 배포할 수 있습니다. 그러나 리전 간 호출로 인해 애플리케이션 성능이 느려질 수 있으며 대부분의 AWS 관리형 애플리케이션은 이러한 유형의 연결을 지원하지 않습니다.
다중 리전 IAM Identity Center 인스턴스를 사용하면 동일한 리전(“리전-로컬 연결”)의 IAM Identity Center에 연결하여 활성화된 모든 리전에 AWS 관리형 애플리케이션을 배포할 수 있습니다. 기본 리전에서의 배포는 모든 통합 AWS 관리형 애플리케이션에서 지원됩니다. IAM Identity Center의 추가 리전에서 배포를 지원하는 AWS 관리형 애플리케이션을 확인하려면의 애플리케이션 표를 참조하세요[AWS IAM Identity Center와 함께 사용할 수 있는 관리형 애플리케이션](awsapps-that-work-with-identity-center.md). 어떤 경우든 AWS 관리형 애플리케이션은 배포하려는 리전에서 사용할 수 있어야 합니다.
IAM Identity Center에 대한 리전-로컬 연결을 통해 AWS 관리형 애플리케이션은 최적의 성능과 신뢰성을 위해 동일한 리전의 직원 ID에 액세스합니다. [사전 조건이](multi-region-iam-identity-center.md#multi-region-prerequisites) 충족될 때마다 AWS 관리형 애플리케이션을 배포할 때 리전-로컬 연결을 선택하는 것이 좋습니다.
IAM Identity Center의 추가 리전에 AWS 관리형 애플리케이션을 배포하려면 기본 리전에 배포하는 것과 동일한 방식으로 애플리케이션 콘솔 또는 API를 통해 해당 리전에서 배포를 시작합니다.
**고려 사항:**
+ IAM Identity Center를 해당 리전에 아직 복제하지 않은 경우 애플리케이션 배포를 즉시 완료할 수 있도록 먼저 복제하는 것이 좋습니다.
+ AWS 관리형 애플리케이션은 이미 IAM Identity Center를 리전에 복제한 경우 대부분의 경우 리전-로컬 연결을 자동으로 설정합니다.
+ AWS 관리형 애플리케이션이 IAM Identity Center에 대한 리전 간 연결을 제공하는 경우 [사전 조건이](multi-region-iam-identity-center.md#multi-region-prerequisites) 충족되면 리전-로컬 연결을 선택하는 것이 좋습니다.
+ 애플리케이션이 추가 리전에서 배포를 지원하지 않는 경우 애플리케이션을 사용할 수 있는 경우 기본 리전에 배포할 수 있습니다.
**중요**
IAM Identity Center 인스턴스가 다중 리전인 경우 조직에서 사용 중인 모든 AWS 관리형 애플리케이션은 애플리케이션 배포 리전에 관계없이 고객 관리형 KMS 키로 구성된 IAM Identity Center를 지원해야 합니다. 애플리케이션을 배포[AWS IAM Identity Center와 함께 사용할 수 있는 관리형 애플리케이션](awsapps-that-work-with-identity-center.md)하기 전과 IAM Identity Center에서 고객 관리형 KMS 키를 구성하기 전에에서 이를 확인합니다.
### 애플리케이션의 관리 리전
리전-로컬 연결을 사용하여 IAM Identity Center의 추가 리전에 AWS 관리형 애플리케이션을 배포한 후 동일한 리전의 사용자 및 그룹에 대한 애플리케이션 및 할당을 관리합니다. IAM Identity Center는 사용자 및 그룹에 대한 할당을 포함하여 애플리케이션 메타데이터를 다른 활성화된 리전으로 복제하므로 작업 인력이 활성화된 모든 리전에서 애플리케이션을 시작할 수 있습니다.
AWS 관리형 애플리케이션이 IAM Identity Center에 대한 리전 간 연결을 사용하는 경우 연결된 리전의 IAM Identity Center 콘솔 및 API를 통해 이름 및 설명, 사용자 및 그룹에 대한 애플리케이션 할당과 같은 애플리케이션 세부 정보를 관리할 수 있습니다. 연결 유형에 관계없이 배포 리전의 콘솔을 통해 애플리케이션을 관리할 수 있습니다.
### 신뢰할 수 있는 ID 전파
IAM Identity Center 인스턴스의 활성화된 모든 리전에서 지원되는 AWS 관리형 애플리케이션에서 신뢰할 수 있는 ID 전파를 사용할 수 있습니다.
자격 증명 컨텍스트를 서로 전파하는 모든 애플리케이션은 동일한 리전에 있어야 합니다.
### 연결된 IAM Identity Center 리전에 대한 애플리케이션의 종속성
각 AWS 관리형 애플리케이션은 배포 중에 특정 IAM Identity Center 리전에 연결됩니다. 그런 다음 IAM Identity Center가 여러 리전에서 활성화된 경우에도 애플리케이션은 사용자 로그인을 위해 해당 리전에 따라 달라집니다. IAM Identity Center가 해당 리전에서 중단되는 경우 사용자는 리전에 연결된 AWS 관리형 애플리케이션에 액세스하지 못할 수 있습니다.
## 여러에 걸쳐 고객 관리형 애플리케이션 배포 및 관리 AWS 리전
IAM Identity Center는 SAML 및 OAuth2 [고객 관리형 애플리케이션을](customermanagedapps.md) 지원합니다. IAM Identity Center 인스턴스의 활성화된 모든 리전에서 생성하도록 선택할 수 있습니다. 하나를 생성한 후 동일한 리전의 사용자 및 그룹에 대한 애플리케이션 및 할당을 관리합니다.
# IAM Identity Center에서 리전 제거
IAM Identity Center 인스턴스에서 추가 리전을 제거하려면 다음 단계를 따르세요.
## 1단계: 외부 IdP 구성 업데이트
외부 IdP에서이 리전의 ACS URL을 제거하거나 나중에이 리전을 다시 추가하려는 경우에 대비하여 유지할 수 있습니다. 이 리전 AWS 액세스 포털 에서에 대해 생성했을 수 있는 북마크 앱을 제거하거나 숨기는 것이 좋습니다.
## 2단계: 리전 제거
------
#### [ Console ]
**리전을 추가하려면**
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon/)을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. [**Management**] 탭을 선택한 후
1. **IAM Identity Center의 리전** 섹션에서 제거할 추가 리전을 선택합니다.
1. **** 제거를 선택합니다.
1. **리전 제거**를 선택하여 제거를 확인하기 전에이 IAM Identity Center 리전에서 생성된 애플리케이션에 대한 잠재적 액세스 손실에 대한 경고에 유의하세요. 이러한 애플리케이션이 있는지 확실하지 않은 경우 탐색 창에서 **애플리케이션을** 선택하고 각 AWS 관리형 및 고객 관리형 애플리케이션의 **에서 생성됨** 열에서 연결된 리전을 확인합니다.
**참고**
제거된 리전에 계속 연결된 AWS 관리형 애플리케이션을 배포하는 경우 이러한 애플리케이션에 대한 액세스 권한을 잃더라도 요금이 계속 발생할 수 있습니다. 이를 방지하려면 IAM Identity Center에서 리전을 제거하기 전에 애플리케이션 콘솔 또는 API를 통해 이러한 AWS 관리형 애플리케이션 배포를 제거해야 합니다. IAM Identity Center 리전을 이미 제거한 경우 리전을 다시 추가하여 애플리케이션에 대한 액세스를 복원할 수 있습니다.
1. **IAM Identity Center의 리전** 섹션에서 리전 상태를 모니터링합니다. 새로 **고침** 버튼(원형 화살표)을 사용하여 필요에 따라 최신 리전 상태를 확인합니다. 리전이 제거되면 리전 목록에 해당 리전이 더 이상 표시되지 않습니다.
------
#### [ AWS CLI ]
**리전을 제거하려면**
```
aws sso-admin remove-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
**현재 리전 상태를 확인하려면**
```
aws sso-admin describe-region \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--region-name eu-west-1
```
리전이 제거되면 2단계로 진행합니다.
------
## 3단계: 복제본 키 삭제
KMS 스토리지 요금이 발생하지 않도록이 리전에서 복제본 키를 제거하도록 선택할 수 있습니다. 자세한 내용은 [AWS KMS 키 삭제를 참조하세요](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html).
**중요**
이 특정 리전에서는 복제본 키만 삭제해야 합니다. 다른 IAM Identity Center 리전은 정상 작업을 위해 활성화된 다른 리전의 KMS 키에 계속 의존합니다.
# 추가 AWS 리전에서 지원되는 IAM Identity Center 서비스 APIs
| API | 추가 리전의 기능 |
| --- | --- |
| [Identity Center API](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/api-support-in-additional-regions.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/api-support-in-additional-regions.html) |
| [자격 증명 스토어 인증](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html) | 읽기 작업 |
| [OIDC API](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html) | 모든 작업이 지원됩니다. |
| [포털 API 액세스](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/Welcome.html) | 모든 작업이 지원됩니다. |
| [SCIM API](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) | 작업이 지원되지 않음 |
# AWS CloudTrail 기본 및 추가 리전의 IAM Identity Center 이벤트
에서는 IAM Identity Center 사용자 및 관리자가 IAM Identity Center 인스턴스 AWS 리전 의 활성화된 모든에서 수행하는 작업을 감사 AWS CloudTrail할 수 있습니다. AWS CloudTrail 이벤트는 작업이 수행되는 리전에서 내보내지고 로깅됩니다. 자세한 내용은 [IAM Identity Center 로깅 및 모니터링](security-logging-and-monitoring.md) 단원을 참조하십시오.
# 기본 및 추가 리전에서 IAM Identity Center 사용 사례의 가용성
| 기능 | 리전별 가용성 |
| --- | --- |
| 사용자 포털이 있는 작업 인력 디렉터리 | |
| 포털 로그인 및 글로벌 세션을 AWS 액세스 포털 포함한에 대한 사용자 액세스(모든 리전에 대해 하나의 로그인) | 활성화된 모든 리전 |
| 할당된 모든 계정 표시 | 활성화된 모든 리전 |
| 할당된 모든 애플리케이션의 표시(애플리케이션이 생성된 위치에 관계없이) | 활성화된 모든 리전 |
| AWS 콘솔 또는 Identity Store APIs를 통해 사용자, 그룹 및 멤버십에 대한 읽기 액세스 | 활성화된 모든 리전 |
| 사용자 세션 취소 | 활성화된 모든 리전 |
| SCIM API 또는 Identity Store API를 통해 외부 IdP와 같은 외부 ID 소스에서 사용자 및 그룹 자동 동기화 | 기본 리전만 |
| SCIM을 사용하여 자동 자격 증명 프로비저닝 구성 | 기본 리전만 |
| 외부 IdP를 사용하여 SAML SSO 구성 | 기본 리전만 - 활성화된 모든 리전에서 콘솔을 통한 읽기 액세스 |
| 콘솔 또는 Identity Store API를 통해 사용자, 그룹 및 그룹 멤버십에 대한 작업을 Create/update/delete합니다. APIs | 기본 리전: Identity Store API를 통해 사용할 수 있지만 SCIM API를 프로비저닝에 사용할 때 IAM Identity Center 콘솔에서 차단됩니다(항상 사용할 수 있는 사용자 액세스 및 삭제 비활성화/활성화 제외). 추가 리전: 사용 불가 |
| 다중 계정 액세스 | |
| AWS 액세스 포털 AWS CLI및 바로 가기 링크를 통해 할당된 계정에 액세스 | 활성화된 모든 리전 |
| 콘솔 및 APIs에서 다중 계정 권한 세트 및 할당 관리(임시 승격된 액세스 포함) | 기본 리전만 |
| 애플리케이션 및 AWS 서비스에 대한 액세스 | |
| 애플리케이션 콘솔 및 APIs를 통해 AWS 관리형 애플리케이션 배포 | 활성화된 모든 리전 - 애플리케이션의 리전 가용성 및 추가 리전에서의 배포 지원에 따라 다름 |
| Identity Center 콘솔 및 APIs를 통해 고객 관리형 애플리케이션 생성 | 활성화된 모든 리전 |
| 콘솔 및 APIs에서 애플리케이션 메타데이터 및 할당 관리 | 애플리케이션의 연결된 IAM Identity Center 리전 |
| 에서 또는 애플리케이션 링크 AWS 액세스 포털 나 북마크를 통해 직접 애플리케이션 시작 | 활성화된 모든 리전 |
| Amazon EC2 인스턴스에 대한 SSO | 활성화된 모든 리전 |
| 신뢰할 수 있는 자격 증명 전파 | |
| 신뢰할 수 있는 토큰 발급자 생성 | 기본 리전만 |
| AWS 관리형 애플리케이션을 통한 신뢰할 수 있는 자격 증명 전파 | 활성화된 모든 리전 - 자격 증명 컨텍스트를 서로 전파하는 애플리케이션은 동일한 리전에 있어야 합니다. |
| 기타 관리 기능 | |
| 리전 관리, KMS 키 관리, 인스턴스 관리 및 세션 관리와 같은 기타 모든 관리 기능(세션 취소 제외) | 기본 리전만 - 일부 데이터에 대해 활성화된 모든 리전에서 읽기 액세스 사용 가능(권한 세트 할당 제외) |