Uso del centro de identidad de IAM en varios Regiones de AWS - AWS IAM Identity Center
Ventajas del soporte multirregionalRequisitos y consideraciones previosElegir una región adicional

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso del centro de identidad de IAM en varios Regiones de AWS

En este tema se explica cómo usarlo AWS IAM Identity Center en varios Regiones de AWS. Descubra cómo replicar su instancia en otras regiones, gestionar el acceso y las sesiones del personal, implementar aplicaciones y mantener el acceso a las cuentas durante las interrupciones del servicio.

Cuando habilita una instancia organizativa del IAM Identity Center, elige una única Región de AWS (región principal). Puede replicar esta instancia en una instancia adicional Regiones de AWS si cumple con ciertos requisitos previos. IAM Identity Center replica automáticamente las identidades de los empleados, los conjuntos de permisos, las asignaciones de usuarios y grupos, las sesiones y otros metadatos de la región principal a las regiones adicionales elegidas.

Ventajas del soporte multirregional

La replicación de IAM Identity Center a una versión adicional Regiones de AWS ofrece dos ventajas clave:

  • Mayor resiliencia del Cuenta de AWS acceso: sus empleados pueden acceder al suyo incluso si la instancia del IAM Identity Center sufre una interrupción del servicio en su Cuenta de AWS región principal. Esto se aplica al acceso con los permisos proporcionados antes de la interrupción.

  • Mayor flexibilidad a la hora de elegir las regiones de implementación para las aplicaciones AWS administradas: puede implementar aplicaciones AWS administradas en las regiones que prefiera para cumplir con los requisitos de residencia de los datos de las aplicaciones y mejorar el rendimiento gracias a la proximidad a los usuarios. Las aplicaciones implementadas en otras regiones acceden a las identidades replicadas de la fuerza laboral a nivel local para lograr un rendimiento y una confiabilidad óptimos.

Requisitos y consideraciones previos

Antes de replicar su instancia de IAM Identity Center, asegúrese de que se cumplen los siguientes requisitos:

  • Tipo de instancia: su instancia del IAM Identity Center debe ser una instancia de organización. El soporte multirregional no está disponible en las instancias de cuentas.

  • Fuente de identidad: la instancia del centro de identidad de IAM debe estar conectada a un proveedor de identidad (IdP) externo, como. Okta La compatibilidad multirregional no está disponible para las instancias que utilizan Active Directory o el directorio del Centro de identidad como fuente de identidad.

  • AWS Regiones: la compatibilidad multirregional está disponible en las regiones comerciales y está habilitada de forma predeterminada en la suya. Cuenta de AWS En la actualidad, no se admiten las regiones de suscripción voluntaria.

  • Tipo de clave KMS para el cifrado en reposo: la instancia del IAM Identity Center debe estar configurada con una clave KMS de varias regiones gestionada por el cliente. La clave KMS debe estar ubicada en la misma AWS cuenta que el IAM Identity Center. Para obtener más información, consulte Implementación de claves KMS administradas por el cliente en AWS IAM Identity Center.

  • AWS compatibilidad de aplicaciones gestionadas: consulte la tabla de aplicaciones AWS aplicaciones gestionadas que puede utilizar con IAM Identity Center para confirmar los dos requisitos de aplicación siguientes:

    • Todas las aplicaciones AWS gestionadas que utilice su organización deben ser compatibles con el centro de identidad de IAM, que está configurado con una clave KMS administrada por el cliente.

    • Las aplicaciones AWS gestionadas que desee implementar en otras regiones deben admitir este tipo de implementación.

  • Compatibilidad con el IdP externo: para aprovechar al máximo el soporte multirregional, el IdP externo debe admitir el servicio al consumidor de múltiples afirmaciones (ACS). URLs Se trata de una función de SAML que es compatible IdPs conOkta,, yMicrosoft Entra ID. PingFederate PingOne JumpCloud

    Si utiliza un IdP que no admite varios ACS URLs, por ejemplo, le recomendamos que trabaje con su proveedor de IdP para habilitar esta función. Google Workspace Para ver las opciones que están disponibles sin varios ACS URLs, consulte Utilizar aplicaciones AWS administradas sin varios ACS URLs y. Cuenta de AWS resiliencia de acceso sin varios ACS URLs

Elegir una región adicional

Al elegir una región adicional entre las regiones comerciales habilitadas de forma predeterminada, tenga en cuenta los siguientes factores:

  • Requisitos de conformidad: si necesita ejecutar aplicaciones AWS administradas que accedan a conjuntos de datos limitados a una región específica por motivos de cumplimiento, elija la región en la que residen los conjuntos de datos.

  • Optimización del rendimiento: si la residencia de los datos no es un factor, seleccione la región más cercana a los usuarios de la aplicación para optimizar su experiencia.

  • Soporte de aplicaciones: compruebe que AWS las aplicaciones requeridas estén disponibles en la región elegida.

  • Cuenta de AWS Flexibilidad de acceso: para garantizar la continuidad del acceso a Cuenta de AWS s, elija una región geográficamente alejada de la región principal de su instancia de IAM Identity Center.

nota

El Centro de Identidad de IAM tiene una cuota en el número de. Regiones de AWS Para obtener más información, consulte Cuotas adicionales.