Répliquer le centre d'identité IAM dans une région supplémentaire - AWS IAM Identity Center
Étape 1 : Création d'une réplique de cléÉtape 2 : ajouter la régionÉtape 3 : Mettre à jour la configuration de l'IdP externeÉtape 4 : Confirmer les listes d'autorisation du pare-feu et de la passerelleÉtape 5 : Fournissez des informations à vos utilisateursChangements de région au-delà de l'ajout de la première régionQuelles sont les données répliquées ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Répliquer le centre d'identité IAM dans une région supplémentaire

Si votre environnement répond aux conditions requises, suivez les étapes ci-dessous pour répliquer votre instance IAM Identity Center dans une région supplémentaire :

Étape 1 : créer une réplique de clé dans la région supplémentaire

Avant de répliquer IAM Identity Center vers une région, vous devez d'abord créer une clé de réplique de votre clé KMS gérée par le client dans cette région et configurer la clé de réplique avec les autorisations requises pour le fonctionnement d'IAM Identity Center. Pour obtenir des instructions sur la création de clés de réplication multirégionales, consultez la section Création de clés de réplication multirégionales.

L'approche recommandée pour les autorisations relatives aux clés KMS consiste à copier la politique clé à partir de la clé primaire, qui accorde les mêmes autorisations déjà établies pour le centre d'identité IAM dans la région principale. Vous pouvez également définir des politiques clés spécifiques à une région, bien que cette approche complique la gestion des autorisations entre les régions et puisse nécessiter une coordination supplémentaire lors de la mise à jour des politiques à l'avenir.

Note

AWS KMS ne synchronise pas votre politique de clé KMS entre les régions de votre clé KMS multirégionale. Pour que la politique des clés KMS reste synchronisée dans les régions clés KMS, vous devez appliquer les modifications dans chaque région individuellement.

Étape 2 : ajouter la région dans le centre d'identité IAM

L'ajout d'une région dans le centre d'identité IAM déclenche la réplication automatique et asynchrone des données du centre d'identité IAM dans cette région. Vous trouverez ci-dessous les instructions pour effectuer cette opération dans le AWS Management Console et AWS CLI

Console

Pour ajouter une région

  1. Ouvrez la console IAM Identity Center.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Choisissez l’onglet Gestion.

  4. Dans la section Régions pour le centre d'identité IAM, sélectionnez Ajouter une région.

  5. Dans la section Régions AWS Disponible pour la réplication, sélectionnez votre option préférée Région AWS. Si la région n'apparaît pas dans la liste, elle n'est pas disponible pour la réplication car la clé KMS n'y a pas été répliquée. Pour plus d'informations, voir Implémentation de clés KMS gérées par le client dans IAM Identity Center.

  6. Choisissez Ajouter une région.

  7. Dans la section Régions pour le centre d'identité IAM, surveillez le statut de la région. Utilisez le bouton Actualiser (flèche circulaire) pour vérifier le dernier état de la région selon les besoins. Une fois la réplication terminée, passez à l'étape 2.

AWS CLI

Pour ajouter une région 

aws sso-admin add-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

Pour vérifier le statut actuel de la région 

aws sso-admin describe-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

Lorsque le statut de la région est ACTIF, vous pouvez passer à l'étape 2.

La durée de la réplication initiale vers une région supplémentaire dépend de la quantité de données contenue dans votre instance IAM Identity Center. Les modifications incrémentielles ultérieures sont répliquées en quelques secondes dans la plupart des cas.

Étape 3 : Mettre à jour la configuration de l'IdP externe

Suivez le didacticiel correspondant à votre IdP externe Tutoriels sur les sources d'identité IAM Identity Center pour suivre les étapes suivantes :

Étape 3.a : Ajoutez l'Assertion Consumer Service (ACS) URLs à votre IdP externe

Cette étape permet la connexion directe à chaque région supplémentaire et est requise pour permettre la connexion aux applications AWS gérées déployées dans ces régions et pour accéder à Compte AWS s via ces régions. Pour savoir où se trouve l'ACS URLs, voirPoints de terminaison ACS dans le primaire et dans le module supplémentaire Régions AWS.

Étape 3.b (facultatif) : Rendre le Portail d'accès AWS disponible sur le portail IdP externe

Rendez la Portail d'accès AWS région supplémentaire disponible sous forme d'application de favoris sur le portail IdP externe. Les applications de favoris contiennent uniquement un lien (URL) vers la destination souhaitée et sont similaires à un signet de navigateur. Vous pouvez les trouver Portail d'accès AWS URLs dans la console en choisissant Afficher tout Portail d'accès AWS URLs dans la section Régions pour IAM Identity Center. Pour de plus amples informations, veuillez consulter Portail d'accès AWS points de terminaison dans le primaire et dans le module supplémentaire Régions AWS.

IAM Identity Center prend en charge le SSO SAML initié par l'IdP dans chaque région supplémentaire, mais les applications externes le prennent IdPs généralement en charge avec une seule URL ACS. Pour des raisons de continuité, nous vous recommandons de continuer à utiliser l'URL ACS de la région principale pour l'authentification unique SAML initiée par l'IdP et de vous fier aux applications de favoris et aux signets du navigateur pour accéder à des régions supplémentaires.

Étape 4 : Confirmer les listes d'autorisation du pare-feu et de la passerelle

Passez en revue vos listes d'autorisation de domaines dans les pare-feux ou les passerelles, et mettez-les à jour en fonction des listes d'autorisation documentées.

Étape 5 : Fournissez des informations à vos utilisateurs

Fournissez à vos utilisateurs des informations sur la nouvelle configuration, notamment l' Portail d'accès AWS URL de la région supplémentaire et la manière d'utiliser les régions supplémentaires. Consultez les sections suivantes pour obtenir des informations pertinentes :

Changements de région au-delà de l'ajout de la première région

Vous pouvez ajouter et supprimer des régions supplémentaires. La région principale ne peut pas être supprimée autrement qu'en supprimant l'intégralité de l'instance IAM Identity Center. Pour plus d'informations sur la suppression d'une région, consultezSupprimer une région du centre d'identité IAM.

Vous ne pouvez pas promouvoir une région supplémentaire en tant que région principale ou rétrograder la région principale pour en faire une région supplémentaire.

Quelles sont les données répliquées ?

IAM Identity Center réplique les données suivantes :

Données Source et cible de réplication
Identités du personnel (utilisateurs, groupes, appartenances à des groupes) De la région principale aux régions supplémentaires
Ensembles d'autorisations et leur attribution aux utilisateurs et aux groupes De la région principale aux régions supplémentaires
Configuration (tels que les paramètres SAML de l'IdP externe) De la région principale aux régions supplémentaires
Métadonnées des applications et attributions d'applications aux utilisateurs et aux groupes De la région IAM Identity Center connectée à une application vers les autres régions activées
Émetteurs de jetons fiables De la région principale aux régions supplémentaires
Séances De la région d'origine de la session aux autres régions activées
Note

IAM Identity Center ne réplique pas les données stockées dans les applications AWS gérées. En outre, cela ne modifie pas l'empreinte régionale du déploiement d'une application. Par exemple, si votre instance IAM Identity Center se trouve dans l'est des États-Unis (Virginie du Nord) et qu'Amazon Redshift est déployé dans la même région, la réplication d'IAM Identity Center vers l'ouest des États-Unis (Oregon) n'a aucune incidence sur la région de déploiement d'Amazon Redshift ni sur les données qu'elle stocke.

Considérations :

  • Identifiants de ressources globaux dans les régions activées : les utilisateurs, les groupes, les ensembles d'autorisations et les autres ressources ont les mêmes identifiants dans les régions activées.

  • La réplication n'affecte pas les rôles IAM provisionnés - Les rôles IAM existants fournis à partir d'attributions d'ensembles d'autorisations sont utilisés lors de la connexion au compte depuis n'importe quelle région activée.

  • La réplication n'entraîne pas de frais d'utilisation du KMS - La réplication de données vers une région supplémentaire n'entraîne pas de frais d'utilisation du KMS.