本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 选择的注意事项 AWS 区域
您可以选择单一启用 IAM Identity Center,该中心可供全球用户使用。 AWS 区域 这种全球可用性使您可以更轻松地配置用户对多个 AWS 账户 和应用程序的访问权限。以下是选择 AWS 区域的关键考虑因素。
+ **用户的地理位置**-当您选择地理位置最接近大多数最终用户的区域时,他们访问 AWS 访问门户和 AWS 托管应用程序(例如 Amazon A SageMaker I)的延迟将更低。
+ **选择加入区域(默认情况下禁用的区域)**-选择加入区域是 AWS 区域 默认禁用的区域。要使用选择加入区域,您必须首先将其启用。有关更多信息,请参阅[在选择加入区域中管理 IAM Identity Center](regions.md#manually-enabled-regions)。
+ **将 IAM 身份中心复制到其他区域** — 如果您计划将 IAM 身份中心复制到其他区域 AWS 区域,则必须选择默认启用的区域。有关更多信息,请参阅 [跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。
+ **为 AWS 托管应用程序选择部署区域**- AWS 托管应用程序只能 AWS 区域 在可用的区域内运行。许多 AWS 托管应用程序也只能在启用 IAM Identity Center 或将其复制到的区域(主区域或其他区域)中运行。要确认您的 IAM 身份中心实例是否支持复制到其他区域,请参阅[跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。如果无法进行复制,请考虑在计划使用 AWS 托管应用程序的区域启用 IAM 身份中心。
+ **数字主权** – 数字主权法规或公司政策可能要求强制使用特定 AWS 区域。请咨询公司法律部门。
+ **身份源** — 如果您使用[AWS Managed Microsoft AD](connectawsad.md)或您在 Act [ive Directory (AD) 中的自行管理目录](connectonpremad.md)作为身份源,则其主区域必须与您启用 IAM Identity Center 时所在的区域相匹配。 AWS 区域
+ **使用 Amazon Simple Email Service 的跨区域电子邮件** - 在某些区域,IAM Identity Center 可能会调用不同区域中的 [Amazon Simple Email Service(Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)来发送电子邮件。在这些跨区域调用中,IAM Identity Center 会将特定用户属性发送到其他区域。有关更多信息,请参阅 [使用 Amazon SES 的跨区域电子邮件](regions.md#cross-region-calls)。
+ **AWS Control Tower**— 如果您从启用 IAM Identity Center 的组织实例 AWS Control Tower,则该实例将在与 AWS Control Tower 着陆区相同的区域中创建。
**Topics**
+ [IAM Identity Center 区域数据存储和操作](regions.md)
+ [切换 AWS 区域](switching-regions.md)
+ [禁用已启用 IAM 身份中心 AWS 区域 的地方](disabling-region-with-identity-center.md)
# IAM Identity Center 区域数据存储和操作
了解 IAM Identity Center 如何处理跨 AWS 区域的数据存储和操作。
## 了解 IAM Identity Center 如何存储数据
启用 IAM Identity Center 后,您在 IAM 身份中心配置的所有数据都存储在您启用该功能的区域中。这些数据包括目录配置、权限集、应用程序实例和对 AWS 账户 应用程序的用户分配。如果使用的是 IAM Identity Center 身份存储,则您在 IAM Identity Center 中创建的所有用户和组也存储在同一区域中。如果您将 IAM Identity Center 实例复制到其他区域,IAM Identity Center 会自动将用户、群组、权限集及其分配以及其他元数据和配置复制到这些区域。
## 使用 Amazon SES 的跨区域电子邮件
当最终用户尝试使用一次性密码(OTP)作为第二个身份验证因素登录时,IAM Identity Center 使用 [Amazon Simple Email Service(Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)向他们发送电子邮件。还会针对某些身份和凭证管理事件(例如邀请用户设置初始密码、验证电子邮件地址和重置密码)发送这些电子邮件。Amazon SES 在 IAM 身份中心支持的子集中提供。 AWS 区域
当 Amazon SES 在 AWS 区域本地可用时,IAM Identity Center 会调用 Amazon SES 本地端点。当 Amazon SES 在本地不可用时,IAM Identity Center 会调用不同 AWS 区域中的 Amazon SES 端点,如下表所示。
| IAM Identity Center 区域代码 | IAM Identity Center 区域名称 | Amazon SES 区域代码 | Amazon SES 区域名称 |
| --- | --- | --- | --- |
| ap-east-1 | 亚太地区(香港) | ap-northeast-2 | 亚太地区(首尔) |
| ap-east-2 | 亚太地区(台北) | ap-northeast-1 | 亚太地区(东京) |
| ap-south-2 | 亚太地区(海得拉巴) | ap-south-1 | 亚太地区(孟买) |
| ap-southeast-4 | 亚太地区(墨尔本) | ap-southeast-2 | 亚太地区(悉尼) |
| ap-southeast-5 | 亚太地区(马来西亚) | ap-southeast-1 | 亚太地区(新加坡) |
| ap-southeast-6 | 亚太地区(新西兰) | ap-southeast-2 | 亚太地区(悉尼) |
| ap-southeast-7 | 亚太地区(泰国) | ap-northeast-3 | 亚太地区(大阪) |
| ca-west-1 | 加拿大西部(卡尔加里) | ca-central-1 | 加拿大(中部) |
| eu-south-2 | 欧洲(西班牙) | eu-west-3 | 欧洲地区(巴黎) |
| eu-central-2 | 欧洲(苏黎世) | eu-central-1 | 欧洲地区(法兰克福) |
| mx-central-1 | 墨西哥(中部) | us-east-2 | 美国东部(俄亥俄州) |
| me-central-1 | 中东(阿联酋): | eu-central-1 | 欧洲地区(法兰克福) |
| us-gov-east-1 | AWS GovCloud (美国东部) | us-gov-west-1 | AWS GovCloud (美国西部) |
在这些跨区域调用中,IAM Identity Center 可能会发送以下用户属性:
+ 电子邮件地址
+ 名
+ 姓
+ 账号进入 AWS Organizations
+ AWS 访问门户网址
+ 用户名
+ 目录 ID
+ 用户 ID
## 在选择加入区域(默认禁用的区域)中管理 IAM Identity Center
默认情况下 AWS 区域 ,大多数 AWS 服务都启用了操作功能,但是如果您想使用 IAM Iden [tity Center,则必须启用以下可选区域](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion):
+ 非洲(开普敦)
+ 亚太地区(香港)
+ 亚太地区(台北)
+ 亚太地区(海得拉巴)
+ 亚太地区(雅加达)
+ 亚太地区(墨尔本)
+ 亚太地区(马来西亚)
+ 亚太地区(新西兰)
+ 亚太地区(泰国)
+ 加拿大西部(卡尔加里)
+ 欧洲地区(米兰)
+ 欧洲(西班牙)
+ 欧洲(苏黎世)
+ 以色列(特拉维夫)
+ 墨西哥(中部)
+ 中东(巴林)
+ 中东(阿联酋):
如果您在选择加入区域中部署 IAM Identity Center,须在想要管理对 IAM Identity Center 的访问权限的所有账户中启用该区域。所有账户都需要此配置,无论您是否将在该区域中创建资源。可为组织中的当前账户启用区域,且在添加新账户时必须重复此操作。有关说明,请参阅《*AWS Organizations 用户指南*》中的[在您的组织中启用或禁用区域](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization)。为避免重复这些附加步骤,可选择在[默认启用区域](#regions-enabled-by-default)部署 IAM Identity Center。
**注意**
您的 AWS 成员账户必须选择与您的 IAM Identity Center 实例所在的选择加入区域相同的区域,这样您就可以从访问门户 AWS 访问该 AWS 成员账户。
**在选择加入区域中存储的元数据**
当您在选择加入中为管理账户启用 IAM Identity Center 时 AWS 区域,任何成员账户的以下 IAM 身份中心元数据都存储在该区域中。
+ 帐户 ID
+ 帐户名称
+ 帐户电子邮件
+ IAM 身份中心在成员账户中创建的 IAM 角色的 Amazon 资源名称 (ARNs)
## AWS 区域 默认情况下处于启用状态
以下区域默认启用,您可以在这些区域中启用 IAM Identity Center。
+ 美国东部(俄亥俄州)
+ 美国东部(弗吉尼亚州北部)
+ 美国西部(俄勒冈州)
+ 美国西部(北加利福尼亚)
+ 欧洲地区(巴黎)
+ 南美洲(圣保罗)
+ 亚太地区(孟买)
+ 欧洲地区(斯德哥尔摩)
+ 亚太地区(首尔)
+ 亚太地区(东京)
+ 欧洲地区(爱尔兰)
+ 欧洲地区(法兰克福)
+ 欧洲地区(伦敦)
+ 亚太地区(新加坡)
+ 亚太地区(悉尼)
+ 加拿大(中部)
+ 亚太地区(大阪)
# 切换 AWS 区域
我们建议您将 IAM Identity Center 安装在您计划向用户开放的区域,而不是您可能需要禁用的区域。有关更多信息,请参阅 [选择的注意事项 AWS 区域](identity-center-region-considerations.md)。
您只能通过[删除当前的 IAM Identity Center 实例](delete-config.md)并在另一个区域中创建实例来切换 IAM Identity Center 区域。如果您已使用现有的 IAM Identity Center 实例启用了 AWS 托管应用程序,请在删除 IAM Identity Center 之前禁用该应用程序。有关禁用 AWS 托管应用程序的说明,请参阅[禁用 AWS 托管应用程序](awsapps-remove.md)。
**注意**
如果您正在考虑切换 IAM 身份中心区域以允许在另一个区域部署 AWS 托管应用程序,请考虑将您的 IAM 身份中心实例复制到该区域。有关更多信息,请参阅 [跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。
**新区域中的配置注意事项**
须在新的 IAM Identity Center 实例中重新创建用户、组、权限集、应用程序和分配。您可以使用 IAM Identity Center 账户和应用程序分配[APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)来获取配置的快照,然后使用该快照在新区域中重建您的配置。切换到其他区域还会更改[AWS 访问门户的 URL,该门户](using-the-portal.md)为您的用户提供了对其 AWS 账户 和应用程序的单点登录访问权限。可能还需要通过新实例管理控制台重新创建 IAM Identity Center 的部分配置。
# 禁用已启用 IAM 身份中心 AWS 区域 的地方
如果您禁用安装了 IAM 身份中心的,则也会禁用 IAM 身份中心。 AWS 区域 在某个区域禁用 IAM Identity Center 后,该区域的用户将无法单点登录访问 AWS 账户 和应用程序。
要在[选择加入](regions.md#manually-enabled-regions)模式下重新启用 IAM 身份中心 AWS 区域,您必须重新启用该区域。由于 IAM Identity Center 必须重新处理所有暂停的事件,因此重新启用 IAM Identity Center 可能需要一些时间。
**注意**
IAM Identity Center 只能管理允许在中使用的访问权限 AWS 区域。 AWS 账户 要管理组织中所有账户的访问权限,请在管理账户中启用 IAM Identity Center,该账户会自动激活以与 IAM Identity Center 配合使用。 AWS 区域
有关启用和禁用的更多信息 AWS 区域,请参阅《*AWS 一般参考*》 AWS 区域中的 “[管理](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)”。