Replique el centro de identidad de IAM en una región adicional - AWS IAM Identity Center
Paso 1: Crear una clave de réplicaPaso 2: Añadir la regiónPaso 3: Actualizar la configuración del IdP externoPaso 4: Confirme las listas de permisos del firewall y la puerta de enlacePaso 5: Proporcione información a sus usuariosLa región cambia después de añadir la primera región¿Qué datos se replican?

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Replique el centro de identidad de IAM en una región adicional

Si su entorno cumple los requisitos previos, siga los pasos que se indican a continuación para replicar su instancia de IAM Identity Center en una región adicional:

Paso 1: Cree una clave de réplica en la región adicional

Antes de replicar el centro de identidad de IAM en una región, primero debe crear una clave de réplica de la clave de KMS gestionada por el cliente en esa región y configurar la clave de réplica con los permisos necesarios para las operaciones del centro de identidad de IAM. Para obtener instrucciones sobre cómo crear réplicas de claves multirregionales, consulte Crear réplicas de claves multirregionales.

El enfoque recomendado para los permisos de claves de KMS consiste en copiar la política de claves de la clave principal, lo que otorga los mismos permisos ya establecidos para el centro de identidad de IAM en la región principal. Como alternativa, puede definir políticas clave específicas para cada región, aunque este enfoque aumenta la complejidad de la administración de permisos en todas las regiones y puede requerir una coordinación adicional a la hora de actualizar las políticas en el futuro.

nota

AWS KMS no sincroniza tu política de claves de KMS en todas las regiones de tu clave de KMS multirregional. Para mantener sincronizada la política de claves de KMS en todas las regiones clave de KMS, tendrás que aplicar los cambios en cada región de forma individual.

Paso 2: Añadir la región al Centro de identidades de IAM

Al añadir una región al IAM Identity Center, se desencadena la replicación automática y asincrónica de los datos del IAM Identity Center en esa región. A continuación encontrará instrucciones para hacerlo en y Consola de administración de AWS AWS CLI

Console

Para añadir una región

  1. Abra la consola de IAM Identity Center.

  2. En el panel de navegación, seleccione Configuración.

  3. Seleccione la pestaña Administración.

  4. En la sección Regiones del centro de identidad de IAM, seleccione Añadir región.

  5. En la sección Regiones de AWS disponible para la replicación, elija la que prefiera Región de AWS. Si la región no aparece en la lista, no está disponible para la replicación porque la clave KMS no se ha replicado allí. Para obtener más información, consulte Implementación de claves KMS administradas por el cliente en el Centro de identidades de IAM.

  6. Elija Añadir región.

  7. En la sección Regiones del centro de identidad de IAM, supervise el estado de la región. Utilice el botón Actualizar (flecha circular) para comprobar el estado más reciente de la región según sea necesario. Una vez completada la replicación, continúe con el paso 2.

AWS CLI

Para añadir una región 

aws sso-admin add-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

Para comprobar el estado actual de la región 

aws sso-admin describe-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

Cuando el estado de la región sea ACTIVO, puede continuar con el paso 2.

La duración de la replicación inicial en una región adicional depende de la cantidad de datos de la instancia de IAM Identity Center. En la mayoría de los casos, los cambios incrementales posteriores se replican en cuestión de segundos.

Paso 3: Actualizar la configuración del IdP externo

Siga el tutorial de su IdP externo Tutoriales de orígenes de identidad de IAM Identity Center para seguir los siguientes pasos:

Paso 3.a: Agregue el Assertion Consumer Service (ACS) URLs a su IdP externo

Este paso permite el inicio de sesión directo en cada región adicional y es necesario para permitir el inicio de sesión en las aplicaciones AWS gestionadas implementadas en esas regiones y para acceder a s a Cuenta de AWS través de esas regiones. Para saber dónde encontrar el ACS URLs, consulte. Los puntos finales ACS son el principal y el adicional Regiones de AWS

Paso 3.b (opcional): hacer que Portal de acceso a AWS esté disponible en el portal de IdP externo

Haga que la aplicación Portal de acceso a AWS de la región adicional esté disponible como aplicación de marcadores en el portal de IdP externo. Las aplicaciones de marcadores contienen solo un enlace (URL) al destino deseado y son similares a los marcadores de un navegador. Para encontrarlo Portal de acceso a AWS URLs en la consola, seleccione Ver todo Portal de acceso a AWS URLs en la sección Regiones del Centro de Identidad de IAM. Para obtener más información, consulte Portal de acceso a AWS puntos finales en la principal y en la adicional Regiones de AWS.

El IAM Identity Center admite el SSO de SAML iniciado por el IdP en cada región adicional, pero el externo IdPs normalmente lo admite con una sola URL de ACS. Para mantener la continuidad, recomendamos mantener la URL ACS de la región principal en uso para el SSO de SAML iniciado por el IdP y utilizar las aplicaciones de marcadores y los marcadores del navegador para acceder a otras regiones.

Paso 4: Confirme las listas de firewalls y puertas de enlace permitidas

Revise las listas de dominios permitidos en los firewalls o pasarelas y actualícelas en función de las listas de dominios permitidos documentadas.

Paso 5: Proporcione información a sus usuarios

Proporcione a sus usuarios información sobre la nueva configuración, incluida la Portal de acceso a AWS URL de la región adicional y cómo utilizarlas. Consulte las siguientes secciones para obtener información relevante:

La región cambia más allá de añadir la primera región

Puede añadir y eliminar regiones adicionales. La región principal no se puede eliminar sino eliminando toda la instancia del IAM Identity Center. Para obtener más información sobre la eliminación de una región, consulteEliminar una región del centro de identidad de IAM.

No puedes promover una región adicional para que sea la principal ni degradar la región principal para que pase a ser adicional.

¿Qué datos se replican?

IAM Identity Center replica los siguientes datos:

Datos Origen y destino de la replicación
Identidades de la fuerza laboral (usuarios, grupos, pertenencias a grupos) Desde la región principal hasta las regiones adicionales
Conjuntos de permisos y sus asignaciones a usuarios y grupos De la región principal a las regiones adicionales
Configuración (como la configuración SAML del IdP externo) De la región principal a las regiones adicionales
Metadatos de aplicaciones y asignaciones de aplicaciones a usuarios y grupos Desde la región del centro de identidad de IAM conectada a una aplicación a las demás regiones habilitadas
Emisores de tokens de confianza De la región principal a las regiones adicionales
Sesiones De la región de origen de la sesión a las demás regiones habilitadas
nota

El centro de identidad de IAM no replica los datos almacenados en las aplicaciones AWS gestionadas. Además, no cambia la presencia regional de la implementación de una aplicación. Por ejemplo, si su instancia del Centro de Identidad de IAM se encuentra en EE. UU. Este (Norte de Virginia) y tiene Amazon Redshift implementado en la misma región, la replicación del Centro de Identidad de IAM en EE. UU. Oeste (Oregón) no afecta a la región de despliegue de Amazon Redshift ni a los datos que almacena.

Consideraciones:

  • Identificadores de recursos globales en todas las regiones habilitadas: los usuarios, grupos, conjuntos de permisos y otros recursos tienen los mismos identificadores en todas las regiones habilitadas.

  • La replicación no afecta a las funciones de IAM aprovisionadas: las funciones de IAM existentes aprovisionadas a partir de las asignaciones de conjuntos de permisos se utilizan al iniciar sesión en la cuenta desde cualquier región habilitada.

  • La replicación no conlleva cargos por el uso del KMS: la replicación de datos en una región adicional no conlleva un cargo por el uso del KMS.