本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 跨多個 使用 IAM Identity Center AWS 區域
<a name="multi-region-iam-identity-center"></a>

 本主題說明如何 AWS IAM Identity Center 跨多個 使用 AWS 區域。了解如何將執行個體複寫至其他區域、管理人力資源存取和工作階段、部署應用程式，以及在服務中斷期間維護帳戶存取。

 當您啟用 IAM Identity Center 的組織執行個體時，您可以選擇單一 AWS 區域 （主要區域）。 AWS 區域 如果符合特定先決條件，您可以將此執行個體複寫至其他 。IAM Identity Center 會自動將人力資源身分、許可集、使用者和群組指派、工作階段和其他中繼資料從主要區域複寫到所選的其他區域。

## 多區域支援的優點
<a name="multi-region-benefits"></a>

 將 IAM Identity Center 複寫至其他 AWS 區域 提供兩個主要優點：
+  **改善 AWS 帳戶 存取的彈性** – 即使 IAM Identity Center 執行個體在其主要區域中發生服務中斷，您的人力資源也可以存取其 AWS 帳戶。這適用於在中斷之前佈建許可的存取。
+  **為 AWS 受管應用程式選擇部署區域的增強彈性** – 您可以在偏好的區域中部署 AWS 受管應用程式，以滿足應用程式資料駐留需求，並透過與使用者的距離提升效能。部署在其他區域中的應用程式會在本機存取複寫的人力資源身分，以獲得最佳效能和可靠性。

## 先決條件和考量事項
<a name="multi-region-prerequisites"></a>

 在複寫 IAM Identity Center 執行個體之前，請確定符合下列要求：
+ **執行個體類型** - 您的 IAM Identity Center 執行個體必須是[組織執行個體](organization-instances-identity-center.md)。[ 帳戶執行個體](account-instances-identity-center.md)中無法使用多區域支援。
+ **身分來源** - 您的 IAM Identity Center 執行個體必須連線至外部身分提供者 (IdP)，例如 [https://www.okta.com/](https://www.okta.com/)。多區域支援不適用於使用 [Active Directory](gs-ad.md) 或 [Identity Center 目錄](quick-start-default-idc.md)做為身分來源的執行個體。
+ **AWS 區域** - 多區域支援可在您的 中[預設啟用的商業區域中](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)使用 AWS 帳戶。目前不支援選擇加入區域。
+ **靜態加密的 KMS 金鑰類型** - 您的 IAM Identity Center 執行個體必須使用多區域[客戶受管 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html)設定。KMS 金鑰必須位於與 IAM Identity Center 相同的 AWS 帳戶中。如需詳細資訊，請參閱[在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。
+  **AWS 受管應用程式相容性** - 造訪 中的應用程式資料表[AWS 可與 IAM Identity Center 搭配使用的 受管應用程式](awsapps-that-work-with-identity-center.md)，以確認下列兩個應用程式需求：
  +  組織正在使用的所有 AWS 受管應用程式都必須支援使用客戶受管 KMS 金鑰設定的 IAM Identity Center。
  + 您想要在其他區域中部署的 AWS 受管應用程式必須支援這種類型的部署。
+ **外部 IdP 相容性** - 若要充分利用多區域支援，外部 IdP 必須支援多個聲明消費者服務 (ACS) URLs。這是 IdPs 支援的 SAML 功能，例如 Okta、Microsoft Entra ID、PingFederate、PingOne 和 JumpCloud。

  如果您使用的 IdP 不支援多個 ACS URLs，例如 Google Workspace，我們建議您與 IdP 供應商合作以啟用此功能。如需在沒有多個 ACS URLs 的情況下可用的選項，請參閱 [使用沒有多個 ACS URLs AWS 受管應用程式](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和 [AWS 帳戶 在沒有多個 ACS URLs存取彈性](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

## 選擇其他區域
<a name="choosing-additional-region"></a>

 在預設啟用的商業區域之間選擇其他區域時，請考慮下列因素：
+  **合規要求** – 如果您需要執行 AWS 受管應用程式，因為合規原因而存取僅限特定區域的資料集，請選擇資料集所在的區域。
+  **效能最佳化** – 如果資料駐留不是一個因素，請選取最接近您應用程式使用者的 區域，以最佳化其體驗。
+  **應用程式支援** – 驗證您選擇的區域是否提供所需的 AWS 應用程式。
+  **AWS 帳戶 存取彈性** – 若要持續存取 AWS 帳戶，請選擇地理上與 IAM Identity Center 執行個體主要區域相距的區域。

**注意**  
 IAM Identity Center 對 的數量有配額 AWS 區域。如需詳細資訊，請參閱[其他配額](limits.md#additionallimits)。