弹性设计和区域行为

IAM 身份中心服务是完全托管的，使用高度可用和持久的 AWS 服务，例如 Amazon S3 和 Amazon EC2。为了确保可用区中断时的可用性，IAM Identity Center 跨多个可用区运行。您可以将您的 IAM Identity Center 实例复制到其他区域，以便在发生区域中断时使用已配置的权限保持账户访问权限。有关更多信息，请参阅跨多个 IAM 身份中心使用 AWS 区域。

您可以在 AWS Organizations 管理账户中启用 IAM 身份中心。这是 IAM Identity Center 在您的 AWS 账户所有角色中配置、取消配置和更新角色所必需的。启用 IAM Identity Center 时 AWS 区域，它会部署到当前选定的区域，即 “主区域”。如果您想部署到特定区域 AWS 区域，请在启用 IAM 身份中心之前更改区域选择，因为启用 IAM 身份中心后无法更改主要区域。

IAM Identity Center 仅支持主区域的大多数管理功能。这包括与外部身份提供商的连接、用户和组的同步，以及为用户和组创建和分配权限集。相比之下，应用程序及其分配的管理必须在创建应用程序的 IAM 身份中心区域进行。

注意

即使您的 IAM 身份中心已复制到其他区域，我们也建议您设置AWS 漏洞访问权限。这可以帮助您在外部 IdP 服务中断等事件期间保持一小部分特权用户的 AWS 访问权限。紧急访问是使用来自外部 IdP 而不是 IAM 用户的身份的另一种选择；但是，它不能防止外部 IdP 中断。

尽管 IAM Identity Center 确定来自您启用服务的区域的访问权限，但 AWS 账户是全局的。这意味着，用户登录 IAM 身份中心后，当他们 AWS 账户通过 IAM 身份中心访问时，他们可以在任何区域进行操作。但是，大多数 AWS 托管应用程序（例如 SageMaker Amazon AI）都必须安装在您的 IAM 身份中心实例的某个区域，用户才能对这些应用程序进行身份验证和分配访问权限。有关在 IAM Identity Center 中使用应用程序时的区域限制的信息，请参阅该应用程序的文档和跨多个 AWS 托管应用程序部署和管理托管应用程序 AWS 区域。

您还可以使用 IAM Identity Center 对基于 SAML 的客户托管应用程序进行身份验证和授权，这些应用程序可通过公共 URL 访问，无论应用程序是在哪个平台或云上构建的。

我们不建议使用IAM Identity Center 的账户实例作为实现弹性的手段，因为它们不支持 AWS 账户访问权限，而且它们会创建第二个与您的组织实例无关的隔离控制点。

为可用性而生

下表提供了 IAM Identity Center 旨在在单个 AWS 区域中实现的可用性。这些值并不代表服务水平协议或保证，而是提供对设计目标的洞察。可用性百分比指的是对数据或功能的访问情况，而不是指持久性（例如，数据的长期保留）。

服务组件	可用性设计目标
数据面板（包括登录）	99.95%
控制面板	99.90%

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

主要区域和其他区域的 IAM 身份中心用例

设置紧急访问权限 AWS 管理控制台