復元力設計とリージョンごとの動作 - AWS IAM Identity Center

復元力設計とリージョンごとの動作

IAM Identity Center サービスはフルマネージド型で、Amazon S3 や Amazon EC2 などの可用性と耐久性に優れた AWS サービスを使用します。アベイラビリティーゾーンに障害が発生した場合でも可用性を確保するため、IAM Identity Center は複数のアベイラビリティーゾーンにわたって運用されています。

AWS Organizations 管理アカウントで IAM Identity Center を有効にします。これは、IAM Identity Center がすべての AWS アカウント のロールをプロビジョニング、プロビジョニング解除、更新できるようにするために必要です。IAM Identity Center を有効にすると、現在選択されている AWS リージョンにデプロイされます。特定の AWS リージョン にデプロイする場合は、IAM Identity Center を有効にする前にリージョンの選択を変更してください。

注記

IAM Identity Center は、プライマリリージョンからのみアクセス権限セットとアプリケーションへのアクセスを制御します。IAM Identity Center が 1 つのリージョンで運用されている場合は、アクセス制御に関連するリスクを考慮することをお勧めします。

IAM Identity Center はサービスを有効にしたリージョンからのアクセスを決定しますが、AWS アカウント はグローバルです。つまり、ユーザーが IAM Identity Center にサインインした後は、IAM Identity Center を介してアクセスすればAWS アカウント、どのリージョンでも操作できるようになります。ただし、Amazon SageMaker などのほとんどの AWS マネージドアプリケーションは、ユーザーが認証してこれらのアプリケーションへのアクセスを割り当てるために、IAM アイデンティティセンターと同じリージョンにインストールする必要があります。IAM Identity Center でアプリケーションを使用する場合のリージョンの制約については、アプリケーションのドキュメントを参照してください。

IAM Identity Center を使用して、アプリケーションが構築されているプラットフォームやクラウドに関係なく、パブリック URL を介してアクセス可能な SAML ベースのアプリケーションへのアクセスを認証および認可することもできます。

組織インスタンスに接続されていないもう一つの分離されたコントロールポイントが作成されるため、復元性を実装する手段として IAM アイデンティティセンターのアカウントインスタンス を使用することはお勧めしません。

可用性を考慮した設計

次の表は、IAM Identity Center の設計に組み込まれた可用性を示しています。これらの値は、サービスレベルアグリーメントや保証を表すものではなく、むしろソリューションの設計目標を示すものと考えてください。可用性のパーセンテージは、データまたは機能へのアクセス性の目安であり、耐久性 (データの長期保持など) を示す数値ではありません。

サービスコンポーネント 可用性の設計目標
データプレーン (サインインを含む) 99.95%
コントロールプレーン 99.90%