内容提要
AWS IAM身份中心现已支持多区域功能,允许用户在多个AWS区域访问账户和应用。通过复制员工身份和权限,增强访问韧性,确保在主区域服务中断时员工仍可访问AWS。用户可在新区域使用AWS访问门户,管理仍集中于主区域。此功能适用于连接外部身份提供者的组织实例。
关键要点
-
AWS IAM身份中心现已支持多区域功能,允许用户在多个AWS区域访问账户和应用。
-
通过复制员工身份和权限,增强访问韧性,确保在主区域服务中断时员工仍可访问AWS。
-
用户可在新区域使用AWS访问门户,管理仍集中于主区域。
-
此功能适用于连接外部身份提供者的组织实例。
-
在启用多区域功能前,需确认AWS托管应用支持客户自主管理的AWS KMS。
-
复制IAM Identity Center前,需将客户管理的AWS KMS密钥复制到目标区域。
-
选择添加区域后,将启动初始复制流程,复制时长取决于Identity Center实例的大小。
-
员工可通过外部IdP进行SAML单点登录,重定向至新增区域的AWS访问门户。
-
功能发布初期仅支持连接外部IdP的IAM Identity Center组织实例。
-
主区域仍是管理员工身份和账户访问权限的中心位置,其他区域的控制台功能有限。
-
所有员工操作均会在AWS CloudTrail中记录,提升账户访问的连续性。
-
AWS IAM Identity Center多区域支持功能现已在17个商业AWS区域推出,免费使用。
延伸问答
AWS IAM身份中心的多区域支持功能有什么用处?
该功能允许用户在多个AWS区域访问账户和应用,增强访问韧性,确保在主区域服务中断时员工仍可访问AWS。
如何在AWS IAM身份中心启用多区域功能?
在主区域的IAM Identity Center控制台中选择设置,确认加密密钥是多区域客户自主管理型AWS KMS密钥,然后选择添加区域。
复制IAM身份中心前需要注意哪些事项?
必须先将客户管理的AWS KMS密钥复制到目标区域,并为副本密钥配置IAM Identity Center操作所需的权限。
AWS IAM身份中心的多区域支持功能是否收费?
该功能免费使用,但存储和使用客户自主管理型密钥需收取标准AWS KMS费用。
员工如何通过外部身份提供者访问AWS?
员工通过外部IdP进行SAML单点登录,完成身份验证后被重定向至AWS访问门户。
多区域支持功能的发布初期有哪些限制?
功能发布初期仅支持连接外部IdP的IAM Identity Center组织实例,且其他区域的控制台功能有限。
