本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的彈性 AWS Identity and Access Management
<a name="disaster-recovery-resiliency"></a>

 AWS 全球基礎設施是以 AWS 區域和可用區域為基礎建置。 AWS 區域具有多個實體分隔和隔離的可用區域，這些可用區域與低延遲、高輸送量和高備援聯網連接。如需 AWS 區域和可用區域的詳細資訊，請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。

AWS Identity and Access Management (IAM) 和 AWS Security Token Service (AWS STS) 是可全域使用的自我維持、以區域為基礎的服務。

IAM 至關重要 AWS 服務。在 中執行的每個操作 AWS 都必須經過 IAM 驗證和授權。IAM 會根據 IAM 中儲存的身分和政策檢查每個請求，以判斷是否允許或拒絕請求。IAM 設計有一個單獨的*控制平面*和*資料平面*，以便服務即使在意外故障期間也會進行驗證。授權中使用的 IAM 資源 (例如角色和政策) 會儲存在控制平面中。IAM 客戶可以使用諸如 `DeletePolicy` 和 `AttachRolePolicy` 等 IAM 操作來變更這些資源的組態。這些組態變更請求會移至控制平面。所有商業都有一個 IAM 控制平面 AWS 區域，位於美國東部 （維吉尼亞北部） 區域。然後，IAM 系統會將組態變更傳播至每個[已啟用 AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) 的 IAM 資料平面。IAM 資料平面基本上是 IAM 控制平面組態資料的唯讀複本。每個 AWS 區域 都有一個完全獨立的 IAM 資料平面執行個體，其會針對來自相同區域的請求執行身分驗證和授權。在每個區域中，IAM 資料平面至少分佈在三個可用區域，並具有足夠的容量來容忍可用區域的損失，而不會造成任何客戶損失。IAM 控制平面和資料平面都是針對*零計劃停機*而構建，以客戶看不到的方式執行所有軟體更新和擴展操作。

在[預設啟用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)的區域中，對 AWS STS 全域端點的請求會在請求產生的相同區域中自動提供。在選擇加入區域中，全域 AWS STS 端點的請求由單一 AWS 區域美國東部 （維吉尼亞北部） 提供。您可以使用區域 AWS STS 端點來降低延遲，或為您的應用程式提供額外的備援。如需詳細資訊，請參閱 [在 AWS STS 中管理 AWS 區域](id_credentials_temp_enable-regions.md)。

某些事件可能會中斷 AWS 區域 透過網路在 之間的通訊。不過，即使您無法與全域 IAM 端點通訊， 仍然 AWS STS 可以驗證 IAM 主體，IAM 可以授權您的請求。中斷通訊之事件的特定詳細資訊將決定您存取 AWS 服務的能力。在大多數情況下，您可以繼續使用 AWS 環境中的 IAM 登入資料。下列情況可能適用於中斷通訊的事件。

**IAM 使用者的存取金鑰**  
使用長期 [IAM 使用者存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)，您可以在區域中無限期地進行驗證。當您使用 AWS Command Line Interface 和 APIs 時，您可以提供 AWS 存取金鑰，讓 在程式設計請求中 AWS 驗證您的身分。  
作為[最佳實務](best-practices.md)，我們建議您的使用者使用[暫時性憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)而非長期存取金鑰進行登入。

**臨時憑證**  
您可以使用 AWS STS 區域[服務端點](https://docs.aws.amazon.com/general/latest/gr/sts.html#sts_region)[請求新的臨時登入](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access.html)資料至少 24 小時。下列 API 操作會產生暫時性憑證。  
+ **AssumeRole**
+ **AssumeRoleWithWebIdentity**
+ **AssumeRoleWithSAML**
+ **GetFederationToken**
+ **GetSessionToken**

**主體和許可**  
+ 您可能無法在 IAM 中新增、修改或移除主體或許可。
+ 您的憑證可能不會反映您最近在 IAM 中套用的許可變更。如需詳細資訊，請參閱[我所做的變更不一定都會立刻生效](troubleshoot.md#troubleshoot_general_eventual-consistency)。

**AWS 管理主控台**  
+ 您可能可以使用區域登入端點以 IAM 使用者身分登入 AWS 管理主控台 。區域登入端點具有下列 URL 格式。

  `https://{Account ID}.signin.aws.amazon.com/console?region={Region}`

  *範例：https://111122223333.signin.aws.amazon.com/console?region=us-west-2*
+ 您可能無法完成 [Universal 2nd Factor (U2F)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_u2f.html) 多重要素驗證 (MFA)。

## IAM 彈性的最佳實務
<a name="region-dependency-best-practices"></a>

AWS 已在 AWS 區域 和可用區域中建置彈性。當您在與環境互動的系統中觀察下列 IAM 最佳實務時，可以充分利用該彈性。

1. 使用 AWS STS 區域[服務端點](https://docs.aws.amazon.com/general/latest/gr/sts.html#sts_region)，而非預設的全域端點。

1. 檢閱環境的組態，尋找定期建立或修改 IAM 資源的重要資源，並準備使用現有 IAM 資源的備用解決方案。