本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
跨多個 使用 IAM Identity Center AWS 區域
本主題說明如何 AWS IAM Identity Center 跨多個 使用 AWS 區域。了解如何將執行個體複寫至其他區域、管理人力資源存取和工作階段、部署應用程式,以及在服務中斷期間維護帳戶存取。
當您啟用 IAM Identity Center 的組織執行個體時,您可以選擇單一 AWS 區域 (主要區域)。 AWS 區域 如果符合特定先決條件,您可以將此執行個體複寫至其他 。IAM Identity Center 會自動將人力資源身分、許可集、使用者和群組指派、工作階段和其他中繼資料從主要區域複寫到所選的其他區域。
多區域支援的優點
將 IAM Identity Center 複寫至其他 AWS 區域 提供兩個主要優點:
-
改善 AWS 帳戶 存取的彈性 – 即使 IAM Identity Center 執行個體在其主要區域中發生服務中斷,您的人力資源也可以存取其 AWS 帳戶。這適用於在中斷之前佈建許可的存取。
-
為 AWS 受管應用程式選擇部署區域的增強彈性 – 您可以在偏好的區域中部署 AWS 受管應用程式,以滿足應用程式資料駐留需求,並透過與使用者的距離提升效能。部署在其他區域中的應用程式會在本機存取複寫的人力資源身分,以獲得最佳效能和可靠性。
先決條件和考量事項
在複寫 IAM Identity Center 執行個體之前,請確定符合下列要求:
-
執行個體類型 - 您的 IAM Identity Center 執行個體必須是組織執行個體。 帳戶執行個體中無法使用多區域支援。
-
身分來源 - 您的 IAM Identity Center 執行個體必須連線至外部身分提供者 (IdP),例如 Okta
。多區域支援不適用於使用 Active Directory 或 Identity Center 目錄做為身分來源的執行個體。 -
AWS 區域 - 多區域支援可在您的 中預設啟用的商業區域中使用 AWS 帳戶。目前不支援選擇加入區域。
-
靜態加密的 KMS 金鑰類型 - 您的 IAM Identity Center 執行個體必須使用多區域客戶受管 KMS 金鑰設定。KMS 金鑰必須位於與 IAM Identity Center 相同的 AWS 帳戶中。如需詳細資訊,請參閱在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center。
-
AWS 受管應用程式相容性 - 造訪 中的應用程式資料表AWS 可與 IAM Identity Center 搭配使用的 受管應用程式,以確認下列兩個應用程式需求:
-
組織正在使用的所有 AWS 受管應用程式都必須支援使用客戶受管 KMS 金鑰設定的 IAM Identity Center。
-
您想要在其他區域中部署的 AWS 受管應用程式必須支援這種類型的部署。
-
-
外部 IdP 相容性 - 若要充分利用多區域支援,外部 IdP 必須支援多個聲明消費者服務 (ACS) URLs。這是 IdPs 支援的 SAML 功能,例如 Okta、Microsoft Entra ID、PingFederate、PingOne 和 JumpCloud。
如果您使用的 IdP 不支援多個 ACS URLs,例如 Google Workspace,我們建議您與 IdP 供應商合作以啟用此功能。如需在沒有多個 ACS URLs 的情況下可用的選項,請參閱 使用沒有多個 ACS URLs AWS 受管應用程式和 AWS 帳戶 在沒有多個 ACS URLs存取彈性。
選擇其他區域
在預設啟用的商業區域之間選擇其他區域時,請考慮下列因素:
-
合規要求 – 如果您需要執行 AWS 受管應用程式,因為合規原因而存取僅限特定區域的資料集,請選擇資料集所在的區域。
-
效能最佳化 – 如果資料駐留不是一個因素,請選取最接近您應用程式使用者的 區域,以最佳化其體驗。
-
應用程式支援 – 驗證您選擇的區域是否提供所需的 AWS 應用程式。
-
AWS 帳戶 存取彈性 – 若要持續存取 AWS 帳戶,請選擇地理上與 IAM Identity Center 執行個體主要區域相距的區域。
注意
IAM Identity Center 對 的數量有配額 AWS 區域。如需詳細資訊,請參閱其他配額。
