Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Basculement vers une région supplémentaire pour y accéder Compte AWS
Le sujet de l' Compte AWS accès via IAM Identity Center est traité en détail dansConfigurer l'accès à Comptes AWS. Cette section fournit des informations supplémentaires relatives au maintien de l' Compte AWS accès sur plusieurs réseaux Régions AWS en cas d'interruption de service dans la région principale.
Si votre instance IAM Identity Center connaît une interruption dans la région principale, votre personnel peut passer à une autre région pour continuer à accéder à Compte AWS s et aux applications non concernées. La section Accès à la main-d'œuvre par le biais d'une région supplémentaire explique comment accéder au Portail d'accès AWS dans une région supplémentaire.
Nous vous recommandons de communiquer les Portail d'accès AWS points de terminaison des régions supplémentaires et la configuration de l'IdP externe (par exemple, les applications de favoris pour les régions supplémentaires) à votre personnel dès que vous avez terminé la configuration dans. Répliquer le centre d'identité IAM dans une région supplémentaire Cela leur permettra d'être prêts à basculer vers une région supplémentaire si nécessaire.
De même, nous recommandons AWS CLI aux utilisateurs de créer AWS CLI des profils pour des régions supplémentaires pour chacun des profils qu'ils possèdent pour la région principale. Ils peuvent ensuite passer à ce profil en cas d'interruption de service dans la région principale.
Note
La continuité de l'accès à Compte AWS s dépend également de l'état de santé de votre IdP externe et des autorisations, telles que les attributions d'ensembles d'autorisations et les appartenances à des groupes, fournies et répliquées avant une interruption de service. Nous recommandons également à votre entreprise de configurer un accès AWS sans faille afin de maintenir l' AWS accès à un petit groupe d'utilisateurs privilégiés en cas d'interruption de service de l'IdP externe. Configurez un accès d'urgence au AWS Management Consoleest une option similaire qui évite d'utiliser des utilisateurs IAM, mais elle dépend également de l'IdP externe.
Compte AWS résilience des accès sans plusieurs ACS URLs
Certains fournisseurs d'identité externes (IdPs) ne prennent pas en charge le service client à assertions multiples (ACS) URLs dans leur application IAM Identity Center. URLs Les ACS multiples sont une fonctionnalité SAML requise pour la connexion directe à une région spécifique dans un centre d'identité IAM multirégional.
Pour permettre à vos utilisateurs d'y accéder Comptes AWS via plusieurs régions du centre d'identité IAM, vous devez configurer l'ACS régional correspondant URLs dans l'IdP externe. Toutefois, si l'IdP externe ne prend en charge qu'une seule URL ACS dans son application IAM Identity Center, les utilisateurs peuvent se connecter directement à une seule région du centre d'identité IAM.
Pour résoudre ce problème, contactez votre fournisseur d'IdP pour activer la prise en charge de plusieurs ACS. URLs En attendant, vous pouvez utiliser des régions supplémentaires comme sauvegarde pour accéder à Comptes AWS.
Si une interruption du service IAM Identity Center survient dans la région principale, vous devez mettre à jour l'URL ACS dans l'IdP externe avec l'URL ACS d'une région supplémentaire. Après cette mise à jour, vos utilisateurs peuvent accéder au portail AWS d'accès de la région supplémentaire à l'aide de l'application IAM Identity Center existante sur le portail IdP externe, ou via un lien direct que vous partagez avec eux.
Nous vous recommandons de tester régulièrement cette configuration pour vous assurer qu'elle fonctionne en cas de besoin et de communiquer ce processus de basculement à votre organisation.
Note
Lorsque vous utilisez une région supplémentaire pour y accéder Comptes AWS dans cette configuration, vos utilisateurs peuvent ne pas être en mesure d'accéder aux applications AWS gérées connectées à la région principale. Par conséquent, nous recommandons cette mesure uniquement comme mesure temporaire pour maintenir l'accès à Comptes AWS.
