Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von IAM Identity Center für mehrere AWS-Regionen
In diesem Thema wird erklärt, wie Sie mehrere AWS IAM Identity Center AWS-Regionen verwenden können. Erfahren Sie, wie Sie Ihre Instanz in weitere Regionen replizieren, den Zugriff und die Sitzungen Ihrer Mitarbeiter verwalten, Anwendungen bereitstellen und den Kontozugriff bei Serviceunterbrechungen aufrechterhalten können.
Wenn Sie eine Organisationsinstanz von IAM Identity Center aktivieren, wählen Sie eine einzelne AWS-Region (primäre Region) aus. Sie können diese Instanz auf eine weitere replizieren, AWS-Regionen wenn sie bestimmte Voraussetzungen erfüllt. IAM Identity Center repliziert Mitarbeiteridentitäten, Berechtigungssätze, Benutzer- und Gruppenzuweisungen, Sitzungen und andere Metadaten automatisch von der primären Region in die ausgewählten zusätzlichen Regionen.
Vorteile des Supports für mehrere Regionen
Die Replikation von IAM Identity Center auf ein zusätzliches System AWS-Regionen bietet zwei wichtige Vorteile:
-
Verbesserte AWS-Konto Zugriffssicherheit — Ihre Mitarbeiter können auch dann auf ihre AWS-Konto Daten zugreifen, wenn es bei der IAM Identity Center-Instanz in ihrer Hauptregion zu einer Serviceunterbrechung kommt. Dies gilt für den Zugriff mit Berechtigungen, die vor der Unterbrechung erteilt wurden.
-
Verbesserte Flexibilität bei der Auswahl der Bereitstellungsregionen für AWS verwaltete Anwendungen — Sie können AWS verwaltete Anwendungen in Ihren bevorzugten Regionen bereitstellen, um die Anforderungen an den Speicherort der Anwendungsdaten zu erfüllen und die Leistung durch die Nähe zu den Benutzern zu verbessern. In weiteren Regionen bereitgestellte Anwendungen greifen lokal auf replizierte Personalidentitäten zu und sorgen so für optimale Leistung und Zuverlässigkeit.
Voraussetzungen und Überlegungen
Bevor Sie Ihre IAM Identity Center-Instanz replizieren, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind:
-
Instanztyp — Ihre IAM Identity Center-Instanz muss eine Organisationsinstanz sein. Support für mehrere Regionen ist für Kontoinstanzen nicht verfügbar.
-
Identitätsquelle — Ihre IAM Identity Center-Instanz muss mit einem externen Identitätsanbieter (IdP) verbunden sein, z. B. Okta
Unterstützung für mehrere Regionen ist für Instances, die Active Directory oder das Identity Center-Verzeichnis als Identitätsquelle verwenden, nicht verfügbar. -
AWS Regionen — Support für mehrere Regionen ist in kommerziellen Regionen verfügbar und ist in Ihrem standardmäßig aktiviert. AWS-Konto Opt-in-Regionen werden derzeit nicht unterstützt.
-
KMS-Schlüsseltyp für Verschlüsselung im Ruhezustand — Ihre IAM Identity Center-Instanz muss mit einem vom Kunden verwalteten KMS-Schlüssel für mehrere Regionen konfiguriert sein. Der KMS-Schlüssel muss sich in demselben AWS Konto wie IAM Identity Center befinden. Weitere Informationen finden Sie unter Implementierung von vom Kunden verwalteten KMS-Schlüsseln in AWS IAM Identity Center.
-
AWS Kompatibilität verwalteter Anwendungen — In der Anwendungstabelle unter AWS verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können können Sie sich über die folgenden beiden Anwendungsanforderungen informieren:
-
Alle AWS verwalteten Anwendungen, die von Ihrer Organisation verwendet werden, müssen IAM Identity Center unterstützen, das mit einem vom Kunden verwalteten KMS-Schlüssel konfiguriert ist.
-
Die AWS verwalteten Anwendungen, die Sie in weiteren Regionen bereitstellen möchten, müssen diese Art der Bereitstellung unterstützen.
-
-
Externe IdP-Kompatibilität — Um die Unterstützung mehrerer Regionen in vollem Umfang nutzen zu können, muss der externe IdP Multiple Assertion Consumer Service (ACS) unterstützen. URLs Dies ist eine SAML-Funktion, die IdPs beispielsweise von,Okta, Microsoft Entra ID und unterstützt wird. PingFederate PingOne JumpCloud
Wenn Sie einen IdP verwenden, der nicht mehrere ACS unterstützt URLs, empfehlen wir IhnenGoogle Workspace, mit Ihrem IdP-Anbieter zusammenzuarbeiten, um diese Funktion zu aktivieren. Optionen, die ohne mehrere ACS verfügbar sind URLs, finden Sie unter Verwendung AWS verwalteter Anwendungen ohne mehrere ACS URLs und. AWS-Konto Zugriffssicherheit ohne mehrere ACS URLs
Wählen Sie eine zusätzliche Region
Wenn Sie unter den standardmäßig aktivierten Handelsregionen eine weitere Region auswählen, sollten Sie die folgenden Faktoren berücksichtigen:
-
Compliance-Anforderungen — Wenn Sie AWS verwaltete Anwendungen ausführen müssen, die aus Compliance-Gründen auf Datensätze zugreifen, die auf eine bestimmte Region beschränkt sind, wählen Sie die Region aus, in der sich die Datensätze befinden.
-
Leistungsoptimierung — Wenn der Datenstandort keine Rolle spielt, wählen Sie eine Region aus, die Ihren Anwendungsbenutzern am nächsten ist, um deren Benutzererfahrung zu optimieren.
-
Anwendungssupport — Stellen Sie sicher, dass die benötigten AWS Anwendungen in der von Ihnen ausgewählten Region verfügbar sind.
-
AWS-Konto Ausfallsicherheit beim Zugriff — Wählen Sie eine Region aus, die geografisch weit von der Hauptregion Ihrer IAM Identity Center-Instance entfernt ist, um die Kontinuität des Zugriffs auf AWS-Konto s zu gewährleisten.
Anmerkung
IAM Identity Center hat ein Kontingent für die Anzahl von. AWS-Regionen Weitere Informationen finden Sie unter Zusätzliche Kontingente.