Replizieren Sie IAM Identity Center in eine weitere Region - AWS IAM Identity Center
Schritt 1: Erstellen Sie einen ReplikatschlüsselSchritt 2: Fügen Sie die Region hinzuSchritt 3: Aktualisieren Sie das externe IdP-SetupSchritt 4: Bestätigen Sie die Zulassungslisten für Firewall und GatewaySchritt 5: Stellen Sie Ihren Benutzern Informationen zur VerfügungDie Region ändert sich nach dem Hinzufügen der ersten RegionWelche Daten werden repliziert?

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Replizieren Sie IAM Identity Center in eine weitere Region

Wenn Ihre Umgebung die Voraussetzungen erfüllt, gehen Sie wie folgt vor, um Ihre IAM Identity Center-Instanz in eine weitere Region zu replizieren:

Schritt 1: Erstellen Sie einen Replikatschlüssel in der zusätzlichen Region

Bevor Sie IAM Identity Center in eine Region replizieren, müssen Sie zunächst einen Replikatschlüssel Ihres vom Kunden verwalteten KMS-Schlüssels in dieser Region erstellen und den Replikatschlüssel mit den für den Betrieb von IAM Identity Center erforderlichen Berechtigungen konfigurieren. Anweisungen zum Erstellen von Replikatschlüsseln für mehrere Regionen finden Sie unter Replikatschlüssel für mehrere Regionen erstellen.

Der empfohlene Ansatz für die KMS-Schlüsselberechtigungen besteht darin, die Schlüsselrichtlinie aus dem Primärschlüssel zu kopieren, wodurch dieselben Berechtigungen gewährt werden, die bereits für IAM Identity Center in der primären Region eingerichtet wurden. Alternativ können Sie regionsspezifische Schlüsselrichtlinien definieren. Dieser Ansatz erhöht jedoch die Komplexität der Verwaltung von Berechtigungen in allen Regionen und erfordert möglicherweise zusätzliche Koordination bei der future Aktualisierung von Richtlinien.

Anmerkung

AWS KMS synchronisiert Ihre KMS-Schlüsselrichtlinie nicht zwischen den Regionen Ihres KMS-Schlüssels für mehrere Regionen. Um die KMS-Schlüsselrichtlinie in allen KMS-Schlüsselregionen synchron zu halten, müssen Sie die Änderungen in jeder Region einzeln vornehmen.

Schritt 2: Fügen Sie die Region im IAM Identity Center hinzu

Das Hinzufügen einer Region in IAM Identity Center löst die automatische und asynchrone Replikation von IAM Identity Center-Daten in diese Region aus. Im Folgenden finden Sie Anweisungen dazu im und AWS-Managementkonsole AWS CLI

Console

Um eine Region hinzuzufügen

  1. Öffnen Sie die IAM-Identity-Center-Konsole.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie den Tab Management.

  4. Wählen Sie im Abschnitt Regionen für IAM Identity Center die Option Region hinzufügen aus.

  5. Wählen Sie im Bereich „Für Replikation AWS-Regionen verfügbar“ Ihre bevorzugte AWS-Region Option aus. Wenn die Region nicht in der Liste erscheint, ist sie nicht für die Replikation verfügbar, da der KMS-Schlüssel dort nicht repliziert wurde. Weitere Informationen finden Sie unter Implementierung von kundenverwalteten KMS-Schlüsseln in IAM Identity Center.

  6. Wählen Sie „Region hinzufügen“.

  7. Überwachen Sie im Abschnitt Regionen für IAM Identity Center den Status der Region. Verwenden Sie die Schaltfläche „Aktualisieren“ (kreisförmiger Pfeil), um bei Bedarf den aktuellen Status der Region zu überprüfen. Fahren Sie nach Abschluss der Replikation mit Schritt 2 fort.

AWS CLI

Um eine Region hinzuzufügen 

aws sso-admin add-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

Um den aktuellen Status der Region zu überprüfen 

aws sso-admin describe-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

Wenn der Regionsstatus AKTIV ist, können Sie mit Schritt 2 fortfahren.

Die Dauer der ersten Replikation in eine weitere Region hängt von der Datenmenge in Ihrer IAM Identity Center-Instanz ab. Nachfolgende inkrementelle Änderungen werden in den meisten Fällen innerhalb von Sekunden repliziert.

Schritt 3: Aktualisieren Sie das externe IdP-Setup

Folgen Sie dem Tutorial für Ihren externen IdP Tutorials zu Identitätsquellen im IAM Identity Center für die folgenden Schritte:

Schritt 3.a: Fügen Sie Ihrem externen IdP den Assertion Consumer Service (ACS) URLs hinzu

Dieser Schritt ermöglicht die direkte Anmeldung in jeder weiteren Region und ist erforderlich, um die Anmeldung bei AWS verwalteten Anwendungen zu ermöglichen, die in diesen Regionen bereitgestellt werden, und für den Zugriff AWS-Konto auf s über diese Regionen. Informationen darüber, wo Sie das ACS finden URLs, finden Sie unter. ACS-Endpunkte im primären und weiteren AWS-Regionen

Schritt 3.b (optional): Stellen Sie das im externen IdP-Portal AWS-Zugangsportal zur Verfügung

Stellen Sie die AWS-Zugangsportal in der zusätzlichen Region als Lesezeichen-App im externen IdP-Portal zur Verfügung. Lesezeichen-Apps enthalten nur einen Link (URL) zum gewünschten Ziel und ähneln einem Browser-Lesezeichen. Sie finden sie AWS-Zugangsportal URLs in der Konsole, indem Sie AWS-Zugangsportal URLs im Abschnitt Regionen für IAM Identity Center die Option Alle anzeigen auswählen. Weitere Informationen finden Sie unter AWS-Zugangsportal Endpunkte in der primären und weiteren AWS-Regionen.

IAM Identity Center unterstützt IDP-initiiertes SAML-SSO in jeder weiteren Region, extern wird dies jedoch in IdPs der Regel mit nur einer einzigen ACS-URL unterstützt. Aus Gründen der Kontinuität empfehlen wir, die ACS-URL der primären Region für IDP-initiiertes SAML-SSO beizubehalten und sich für den Zugriff auf weitere Regionen auf Lesezeichen-Apps und Browser-Lesezeichen zu verlassen.

Schritt 4: Bestätigen Sie die Zulassungslisten für Firewall und Gateway

Überprüfen Sie Ihre Domain-Zulassungslisten in Firewalls oder Gateways und aktualisieren Sie sie anhand der dokumentierten Zulassungslisten.

Schritt 5: Stellen Sie Ihren Benutzern Informationen zur Verfügung

Stellen Sie Ihren Benutzern Informationen über das neue Setup zur Verfügung, einschließlich der AWS-Zugangsportal URL in der zusätzlichen Region und der Verwendung der zusätzlichen Regionen. In den folgenden Abschnitten finden Sie relevante Informationen:

Die Region ändert sich nach dem Hinzufügen der ersten Region

Sie können weitere Regionen hinzufügen und entfernen. Die primäre Region kann nur entfernt werden, indem die gesamte IAM Identity Center-Instanz gelöscht wird. Weitere Informationen zum Entfernen einer Region finden Sie unterEine Region aus dem IAM Identity Center entfernen.

Sie können eine weitere Region nicht zur primären Region heraufstufen oder die primäre Region zur zusätzlichen Region herabstufen.

Welche Daten werden repliziert?

IAM Identity Center repliziert die folgenden Daten:

Daten Quelle und Ziel der Replikation
Identitäten der Belegschaft (Benutzer, Gruppen, Gruppenmitgliedschaften) Von der primären Region zu den zusätzlichen Regionen
Berechtigungssätze und ihre Zuweisungen an Benutzer und Gruppen Von der primären Region zu den zusätzlichen Regionen
Konfiguration (z. B. externe IdP-SAML-Einstellungen) Von der primären Region zu den zusätzlichen Regionen
Anwendungsmetadaten und Anwendungszuweisungen zu Benutzern und Gruppen Von der verbundenen IAM Identity Center-Region einer Anwendung zu den anderen aktivierten Regionen
Vertrauenswürdige Token-Emittenten Von der primären Region zu den zusätzlichen Regionen
Sitzungen Von der Ausgangsregion der Sitzung zu den anderen aktivierten Regionen
Anmerkung

IAM Identity Center repliziert keine Daten, die in AWS verwalteten Anwendungen gespeichert sind. Außerdem ändert es nichts an der regionalen Präsenz einer Anwendungsbereitstellung. Wenn sich Ihre IAM Identity Center-Instance beispielsweise in USA Ost (Nord-Virginia) befindet und Sie Amazon Redshift in derselben Region bereitgestellt haben, wirkt sich die Replikation von IAM Identity Center nach USA West (Oregon) nicht auf die Bereitstellungsregion von Amazon Redshift und die darin gespeicherten Daten aus.

Überlegungen:

  • Globale Ressourcen-IDs in allen aktivierten Regionen — Benutzer, Gruppen, Berechtigungssätze und andere Ressourcen haben in allen aktivierten Regionen dieselben Identifikatoren.

  • Die Replikation hat keine Auswirkungen auf bereitgestellte IAM-Rollen. Bestehende IAM-Rollen, die anhand von Zuweisungen von Berechtigungssätzen bereitgestellt wurden, werden bei der Kontoanmeldung von jeder aktivierten Region aus verwendet.

  • Für die Replikation fallen keine KMS-Nutzungsgebühren an — Für die Replikation von Daten in eine zusätzliche Region fallen keine KMS-Nutzungsgebühren an.