Replica IAM Identity Center in un'altra regione - AWS IAM Identity Center
Fase 1: Creare una chiave di replicaFase 2: Aggiungere la regioneFase 3: Aggiornare la configurazione dell'IdP esternoFase 4: Conferma gli elenchi di indirizzi consentiti per firewall e gatewayFase 5: Fornisci informazioni ai tuoi utentiModifiche alla regione oltre all'aggiunta della prima regioneQuali dati vengono replicati?

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Replica IAM Identity Center in un'altra regione

Se il tuo ambiente soddisfa i prerequisiti, segui i passaggi seguenti per replicare l'istanza di IAM Identity Center in una regione aggiuntiva:

Passaggio 1: creare una chiave di replica nella regione aggiuntiva

Prima di replicare IAM Identity Center in una regione, devi prima creare una chiave di replica della chiave KMS gestita dal cliente in quella regione e configurare la chiave di replica con le autorizzazioni richieste per le operazioni di IAM Identity Center. Per istruzioni sulla creazione di chiavi di replica multiregionali, consulta Creazione di chiavi di replica multiregionali.

L'approccio consigliato per le autorizzazioni delle chiavi KMS consiste nel copiare la policy chiave dalla chiave primaria, che concede le stesse autorizzazioni già stabilite per IAM Identity Center nella regione primaria. In alternativa, è possibile definire politiche chiave specifiche per regione, sebbene questo approccio aumenti la complessità della gestione delle autorizzazioni tra le regioni e possa richiedere un ulteriore coordinamento per l'aggiornamento delle politiche in futuro.

Nota

AWS KMS non sincronizza la politica delle chiavi KMS tra le regioni della chiave KMS multiregionale. Per mantenere sincronizzata la politica delle chiavi KMS tra le regioni chiave KMS, dovrai applicare le modifiche in ciascuna regione singolarmente.

Passaggio 2: aggiungi la regione in IAM Identity Center

L'aggiunta di una regione in IAM Identity Center attiva la replica automatica e asincrona dei dati di IAM Identity Center in quella regione. Di seguito sono riportate le istruzioni per eseguire questa operazione in e Console di gestione AWS AWS CLI

Console

Per aggiungere una regione

  1. Apri la console Centro identità IAM.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Scegliere la scheda Management (Gestione),

  4. Nella sezione Regioni per IAM Identity Center, scegli Aggiungi regione.

  5. Nella sezione Regioni AWS Disponibile per la replica, scegli la tua preferita Regione AWS. Se la regione non appare nell'elenco, non è disponibile per la replica perché la chiave KMS non è stata replicata lì. Per ulteriori informazioni, consulta Implementazione delle chiavi KMS gestite dal cliente in IAM Identity Center.

  6. Scegli Aggiungi regione.

  7. Nella sezione Regioni per IAM Identity Center, monitora lo stato della regione. Utilizza il pulsante Aggiorna (freccia circolare) per verificare lo stato più recente della regione, se necessario. Una volta completata la replica, procedi al passaggio 2.

AWS CLI

Per aggiungere una regione 

aws sso-admin add-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

Per verificare lo stato attuale della regione 

aws sso-admin describe-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

Quando lo stato della regione è ATTIVO, puoi procedere al passaggio 2.

La durata della replica iniziale in una regione aggiuntiva dipende dalla quantità di dati nell'istanza di IAM Identity Center. Le modifiche incrementali successive vengono replicate in pochi secondi nella maggior parte dei casi.

Fase 3: Aggiornare la configurazione dell'IdP esterno

Segui il tutorial per il tuo IdP esterno Tutorial sulle fonti di identità di IAM Identity Center per i seguenti passaggi:

Fase 3.a: Aggiungi l'Assertion Consumer Service (ACS) URLs al tuo IdP esterno

Questo passaggio consente l'accesso diretto a ciascuna regione aggiuntiva ed è necessario per abilitare l'accesso alle applicazioni AWS gestite distribuite in tali regioni e per l'accesso a noi tramite tali regioni. Account AWS Per sapere dove trovare l' URLsACS, vedi. Endpoint ACS primari e aggiuntivi Regioni AWS

Fase 3.b (facoltativo): rendere Portale di accesso AWS disponibile il file nel portale IdP esterno

Rendila disponibile Portale di accesso AWS nella regione aggiuntiva come app per segnalibri nel portale IdP esterno. Le app per i segnalibri contengono solo un link (URL) alla destinazione desiderata e sono simili ai segnalibri del browser. Puoi trovarle Portale di accesso AWS URLs nella console selezionando Visualizza tutto Portale di accesso AWS URLs nella sezione Regioni per IAM Identity Center. Per ulteriori informazioni, consulta Portale di accesso AWS endpoint primari e aggiuntivi Regioni AWS.

IAM Identity Center supporta l'SSO SAML avviato da IdP in ogni regione aggiuntiva, ma l'esterno in IdPs genere lo supporta con un solo URL ACS. Per garantire la continuità, consigliamo di mantenere l'URL ACS della regione principale in uso per l'SSO SAML avviato dall'IdP e di affidarsi alle app di segnalibri e ai segnalibri del browser per accedere a regioni aggiuntive.

Fase 4: Conferma gli elenchi di indirizzi consentiti per firewall e gateway

Esamina gli elenchi di domini consentiti nei firewall o nei gateway e aggiornali in base agli elenchi di consentiti documentati.

Fase 5: Fornisci informazioni ai tuoi utenti

Fornisci agli utenti informazioni sulla nuova configurazione, incluso l' Portale di accesso AWS URL nella regione aggiuntiva e su come utilizzare le aree aggiuntive. Consulta le seguenti sezioni per i dettagli pertinenti:

Modifiche alla regione oltre all'aggiunta della prima regione

Puoi aggiungere e rimuovere altre regioni. La regione primaria può essere rimossa solo eliminando l'intera istanza di IAM Identity Center. Per ulteriori informazioni sulla rimozione di una regione, consultaRimuovi una regione da IAM Identity Center.

Non è possibile promuovere una regione aggiuntiva come principale o retrocedere la regione principale come aggiuntiva.

Quali dati vengono replicati?

IAM Identity Center replica i seguenti dati:

Dati Origine e destinazione della replica
Identità della forza lavoro (utenti, gruppi, appartenenze ai gruppi) Dalla regione principale alle regioni aggiuntive
Set di autorizzazioni e relative assegnazioni a utenti e gruppi Dalla regione principale alle regioni aggiuntive
Configurazione (ad esempio impostazioni SAML IdP esterne) Dalla regione principale alle regioni aggiuntive
Metadati dell'applicazione e assegnazioni delle applicazioni a utenti e gruppi Dalla regione IAM Identity Center connessa di un'applicazione alle altre regioni abilitate
Emittenti di token affidabili Dalla regione principale alle regioni aggiuntive
Sessioni Dalla regione di origine della sessione alle altre regioni abilitate
Nota

IAM Identity Center non replica i dati archiviati nelle applicazioni AWS gestite. Inoltre, non modifica l'impronta regionale della distribuzione di un'applicazione. Ad esempio, se la tua istanza IAM Identity Center si trova negli Stati Uniti orientali (Virginia settentrionale) e Amazon Redshift è distribuito nella stessa regione, la replica di IAM Identity Center negli Stati Uniti occidentali (Oregon) non influisce sulla regione di distribuzione di Amazon Redshift e sui dati che archivia.

Considerazioni:

  • Identificatori di risorse globali nelle regioni abilitate: utenti, gruppi, set di autorizzazioni e altre risorse hanno gli stessi identificatori in tutte le regioni abilitate.

  • La replica non influisce sui ruoli IAM assegnati: i ruoli IAM esistenti forniti in base alle assegnazioni dei set di autorizzazioni vengono utilizzati durante l'accesso all'account da qualsiasi regione abilitata.

  • La replica non comporta costi di utilizzo del KMS: la replica dei dati in una regione aggiuntiva non comporta costi di utilizzo del KMS.