Benefícios do suporte multirregional Pré-requisitos e considerações Escolhendo uma região adicional

Usando o IAM Identity Center em vários Regiões da AWS

Este tópico explica como usar Centro de Identidade do AWS IAM em vários Regiões da AWS. Saiba como replicar sua instância para regiões adicionais, gerenciar o acesso e as sessões da força de trabalho, implantar aplicativos e manter o acesso à conta durante interrupções no serviço.

Ao habilitar uma instância organizacional do IAM Identity Center, você escolhe uma única Região da AWS (região primária). Você pode replicar essa instância para mais Regiões da AWS se ela atender a determinados pré-requisitos. O IAM Identity Center replica automaticamente identidades da força de trabalho, conjuntos de permissões, atribuições de usuários e grupos, sessões e outros metadados da região primária para as regiões adicionais escolhidas.

Benefícios do suporte multirregional

A replicação do IAM Identity Center para outros Regiões da AWS fornece dois benefícios principais:

Maior resiliência de Conta da AWS acesso — Sua força de trabalho pode acessar seus Conta da AWS dados mesmo que a instância do IAM Identity Center sofra uma interrupção do serviço em sua região principal. Isso se aplica ao acesso com permissões provisionadas antes da interrupção.
Maior flexibilidade na escolha de regiões de implantação para aplicativos AWS gerenciados — Você pode implantar aplicativos AWS gerenciados em suas regiões preferidas para atender aos requisitos de residência de dados de aplicativos e melhorar o desempenho por meio da proximidade com os usuários. Os aplicativos implantados em regiões adicionais acessam as identidades replicadas da força de trabalho localmente para obter desempenho e confiabilidade ideais.

Pré-requisitos e considerações

Antes de replicar sua instância do IAM Identity Center, certifique-se de que os seguintes requisitos sejam atendidos:

Tipo de instância: sua instância do IAM Identity Center deve ser uma instância da organização. O suporte multirregional não está disponível nas instâncias da conta.
Fonte de identidade - Sua instância do IAM Identity Center deve estar conectada a um provedor de identidade externo (IdP), como. Okta O suporte multirregional não está disponível para instâncias que usam o Active Directory ou o diretório do Identity Center como fonte de identidade.
AWS Regiões - O suporte multirregional está disponível em regiões comerciais habilitadas por padrão em seu Conta da AWS. Atualmente, não há suporte para regiões opcionais.
Tipo de chave KMS para criptografia em repouso — Sua instância do IAM Identity Center deve ser configurada com uma chave KMS multirregional gerenciada pelo cliente. A chave KMS deve estar localizada na mesma AWS conta do IAM Identity Center. Para obter mais informações, consulte Implementando chaves KMS gerenciadas pelo cliente em Centro de Identidade do AWS IAM.
AWS compatibilidade de aplicativos gerenciados - Visite a tabela de aplicativos AWS aplicativos gerenciados que você pode usar com o IAM Identity Center para confirmar os dois requisitos de aplicativos a seguir:
- Todos os aplicativos AWS gerenciados que estão em uso pela sua organização devem oferecer suporte ao IAM Identity Center, configurado com uma chave KMS gerenciada pelo cliente.
- Os aplicativos AWS gerenciados que você deseja implantar em regiões adicionais devem oferecer suporte a esse tipo de implantação.
Compatibilidade com IdP externo - Para aproveitar totalmente o suporte multirregional, o IdP externo deve oferecer suporte ao serviço de consumidor de múltiplas declarações (ACS). URLs Esse é um recurso SAML compatível com, por IdPs exemplo OktaMicrosoft Entra ID, PingFederate, PingOne, e. JumpCloud

Se você usa um IdP que não suporta vários ACS URLs, comoGoogle Workspace, recomendamos que você trabalhe com seu fornecedor de IdP para habilitar esse recurso. Para opções que estão disponíveis sem vários ACS URLs, consulte Usando aplicativos AWS gerenciados sem vários ACS URLs e. Conta da AWS resiliência de acesso sem vários ACS URLs

Escolhendo uma região adicional

Ao escolher uma região adicional entre as regiões comerciais ativadas por padrão, considere estes fatores:

Requisitos de conformidade — Se você precisar executar aplicativos AWS gerenciados que acessam conjuntos de dados limitados a uma região específica por motivos de conformidade, escolha a região em que os conjuntos de dados residem.
Otimização do desempenho — Se a residência dos dados não for um fator, selecione uma região mais próxima dos usuários do seu aplicativo para otimizar sua experiência.
Suporte de aplicativos — Verifique se os AWS aplicativos necessários estão disponíveis na região escolhida.
Conta da AWS resiliência de acesso — Para continuidade do acesso a Conta da AWS s, escolha uma região geograficamente distante da região primária da sua instância do IAM Identity Center.

nota

O IAM Identity Center tem uma cota no número de Regiões da AWS. Para obter mais informações, consulte Cotas adicionais.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como encerrar a sessão ativa

Replique o IAM Identity Center para uma região adicional