Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Failover auf eine zusätzliche Region für den Zugriff AWS-Konto
Das Thema AWS-Konto Zugriff über IAM Identity Center wird ausführlich unter behandelt. Konfigurieren Sie den Zugriff auf AWS-Konten Dieser Abschnitt enthält zusätzliche Informationen, die für die Aufrechterhaltung des AWS-Konto Zugriffs über mehrere AWS-Regionen Benutzer im Falle einer Serviceunterbrechung in der primären Region relevant sind.
Wenn es bei Ihrer IAM Identity Center-Instanz in der primären Region zu einer Störung kommt, können Ihre Mitarbeiter in eine weitere Region wechseln, um weiterhin auf AWS-Konto s und nicht betroffene Anwendungen zuzugreifen. In diesem Abschnitt Zugriff auf Mitarbeiter über eine zusätzliche Region wird erklärt, wie Sie AWS-Zugangsportal in einer weiteren Region auf die zugreifen können.
Wir empfehlen Ihnen, Ihren Mitarbeitern die AWS-Zugangsportal Endpunkte in zusätzlichen Regionen und das externe IdP-Setup (z. B. Lesezeichen-Apps für die zusätzlichen Regionen) mitzuteilen, sobald Sie die Einrichtung in abgeschlossen haben. Replizieren Sie IAM Identity Center in eine weitere Region Auf diese Weise können sie bei Bedarf für einen Failover in eine weitere Region bereit sein.
Ebenso empfehlen wir AWS CLI Benutzern, AWS CLI Profile für zusätzliche Regionen für jedes der Profile zu erstellen, die sie für die primäre Region haben. Anschließend können sie zu diesem Profil wechseln, falls es in der primären Region zu einer Dienstunterbrechung kommt.
Anmerkung
Die Kontinuität des Zugriffs auf AWS-Konto s hängt auch von der Integrität Ihres externen IdP und von Berechtigungen wie Berechtigungssatzzuweisungen und Gruppenmitgliedschaften ab, die vor einer Dienstunterbrechung bereitgestellt und repliziert wurden. Wir empfehlen, dass Ihr Unternehmen auch einen AWS Break-Glass-Zugriff einrichtet, um den AWS Zugriff auf eine kleine Gruppe privilegierter Benutzer aufrechtzuerhalten, wenn der externe IdP eine Dienstunterbrechung hat. Richten Sie den Notfallzugriff auf das ein AWS-Managementkonsoleist eine ähnliche Option, die die Verwendung von IAM-Benutzern vermeidet, aber auch sie hängt vom externen IdP ab.
AWS-Konto Zugriffssicherheit ohne mehrere ACS URLs
Einige externe Identitätsanbieter (IdPs) unterstützen den Multiple Assertion Consumer Service (ACS) URLs in ihrer IAM Identity Center-Anwendung nicht. Mehrere ACS URLs sind eine SAML-Funktion, die für die direkte Anmeldung in einer bestimmten Region in einem IAM Identity Center mit mehreren Regionen erforderlich ist.
Damit Ihre Benutzer AWS-Konten über mehrere IAM Identity Center-Regionen auf ihre zugreifen können, müssen Sie das entsprechende regionale ACS URLs im externen IdP konfigurieren. Wenn der externe IdP jedoch nur eine einzige ACS-URL in seiner IAM Identity Center-Anwendung unterstützt, können sich Benutzer direkt bei einer einzelnen IAM Identity Center-Region anmelden.
Um dieses Problem zu beheben, arbeiten Sie mit Ihrem IdP-Anbieter zusammen, um die Unterstützung für mehrere ACS URLs zu aktivieren. In der Zwischenzeit können Sie weitere Regionen als Backup für den Zugriff auf AWS-Konten verwenden.
Wenn in der primären Region eine IAM Identity Center-Dienstunterbrechung auftritt, müssen Sie die ACS-URL im externen IdP mit der ACS-URL einer zusätzlichen Region aktualisieren. Nach diesem Update können Ihre Benutzer über die bestehende IAM Identity Center-Anwendung im externen IdP-Portal oder über einen direkten Link, den Sie mit ihnen teilen, auf das AWS Zugriffsportal in der zusätzlichen Region zugreifen.
Wir empfehlen, dieses Setup regelmäßig zu testen, um sicherzustellen, dass es bei Bedarf funktioniert, und diesen Failover-Prozess Ihrer Organisation mitzuteilen.
Anmerkung
Wenn Sie AWS-Konten in diesem Setup eine zusätzliche Region für den Zugriff verwenden, können Ihre Benutzer möglicherweise nicht auf AWS verwaltete Anwendungen zugreifen, die mit der primären Region verbunden sind. Daher empfehlen wir, dies nur als vorübergehende Maßnahme zur Aufrechterhaltung des Zugriffs auf AWS-Konten.
