Utilisation d'IAM Identity Center sur plusieurs Régions AWS - AWS IAM Identity Center
Avantages de l'assistance multirégionalePrérequis et considérationsChoix d'une région supplémentaire

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'IAM Identity Center sur plusieurs Régions AWS

Cette rubrique explique comment l'utiliser AWS IAM Identity Center sur plusieurs appareils Régions AWS. Découvrez comment répliquer votre instance dans d'autres régions, gérer l'accès du personnel et les sessions, déployer des applications et maintenir l'accès au compte en cas d'interruption de service.

Lorsque vous activez une instance d'organisation d'IAM Identity Center, vous en choisissez une seule Région AWS (région principale). Vous pouvez répliquer cette instance vers une instance supplémentaire Régions AWS si elle répond à certaines conditions préalables. IAM Identity Center réplique automatiquement les identités du personnel, les ensembles d'autorisations, les affectations d'utilisateurs et de groupes, les sessions et les autres métadonnées de la région principale vers les régions supplémentaires choisies.

Avantages de l'assistance multirégionale

La réplication d'IAM Identity Center vers Régions AWS un autre offre deux avantages essentiels :

  • Résilience d' Compte AWS accès améliorée : votre personnel peut accéder à ses Compte AWS données même si l'instance IAM Identity Center subit une interruption de service dans sa région principale. Cela s'applique à l'accès avec des autorisations accordées avant l'interruption.

  • Flexibilité accrue dans le choix des régions de déploiement pour les applications AWS gérées : vous pouvez déployer des applications AWS gérées dans vos régions préférées afin de répondre aux exigences de résidence des données des applications et d'améliorer les performances grâce à la proximité des utilisateurs. Les applications déployées dans d'autres régions accèdent aux identités du personnel répliquées localement pour des performances et une fiabilité optimales.

Prérequis et considérations

Avant de répliquer votre instance IAM Identity Center, assurez-vous que les exigences suivantes sont respectées :

  • Type d'instance : votre instance IAM Identity Center doit être une instance d'organisation. Le support multirégional n'est pas disponible dans les instances de compte.

  • Source d'identité : votre instance IAM Identity Center doit être connectée à un fournisseur d'identité externe (IdP), tel que. Okta La prise en charge multirégionale n'est pas disponible pour les instances qui utilisent Active Directory ou le répertoire Identity Center comme source d'identité.

  • AWS Régions - Le support multirégional est disponible dans les régions commerciales activées par défaut dans votre Compte AWS. Les régions optionnelles ne sont actuellement pas prises en charge.

  • Type de clé KMS pour le chiffrement au repos : votre instance IAM Identity Center doit être configurée avec une clé KMS gérée par le client dans plusieurs régions. La clé KMS doit se trouver dans le même AWS compte qu'IAM Identity Center. Pour de plus amples informations, veuillez consulter Implémentation de clés KMS gérées par le client dans AWS IAM Identity Center.

  • AWS compatibilité des applications gérées : consultez le tableau des applications AWS applications gérées que vous pouvez utiliser avec IAM Identity Center pour vérifier les deux exigences suivantes :

    • Toutes les applications AWS gérées utilisées par votre organisation doivent prendre en charge le centre d'identité IAM configuré avec une clé KMS gérée par le client.

    • Les applications AWS gérées que vous souhaitez déployer dans des régions supplémentaires doivent prendre en charge ce type de déploiement.

  • Compatibilité avec l'IdP externe : pour tirer pleinement parti de la prise en charge multirégionale, l'IdP externe doit prendre en charge le service ACS (Multiple Assertion Consumer Service). URLs Il s'agit d'une fonctionnalité SAML prise en IdPs charge parOkta,Microsoft Entra ID, PingFederate PingOne, et JumpCloud.

    Si vous utilisez un IdP qui ne prend pas en charge plusieurs ACS URLs, par exempleGoogle Workspace, nous vous recommandons de contacter votre fournisseur d'IdP pour activer cette fonctionnalité. Pour les options disponibles sans plusieurs ACS URLs, voir Utilisation d'applications AWS gérées sans plusieurs ACS URLs etCompte AWS résilience des accès sans plusieurs ACS URLs.

Choix d'une région supplémentaire

Lorsque vous choisissez une région supplémentaire parmi les régions commerciales activées par défaut, tenez compte des facteurs suivants :

  • Exigences de conformité : si vous devez exécuter des applications AWS gérées qui accèdent à des ensembles de données limités à une région spécifique pour des raisons de conformité, choisissez la région dans laquelle se trouvent les ensembles de données.

  • Optimisation des performances : si la résidence des données n'est pas un facteur, sélectionnez la région la plus proche des utilisateurs de votre application afin d'optimiser leur expérience.

  • Assistance aux applications — Vérifiez que les AWS applications requises sont disponibles dans la région que vous avez choisie.

  • Compte AWS résilience de l'accès : pour garantir la continuité de l'accès à Compte AWS s, choisissez une région géographiquement éloignée de la région principale de votre instance IAM Identity Center.

Note

IAM Identity Center dispose d'un quota sur le nombre de Régions AWS. Pour de plus amples informations, veuillez consulter Quotas supplémentaires.