AWS IAM Identity Center 区域可用性
您可在大多数 AWS 区域 中启用 IAM Identity Center,供全球用户使用。这种全球可用性让您能更轻松地配置用户对多个 AWS 账户 和应用程序的访问权限。当用户登录 AWS 访问门户时,他们可以选择自己有权访问的 AWS 账户,然后访问 AWS Management Console。有关 IAM Identity Center 支持的 AWS 区域 的完整列表,请参阅 IAM Identity Center 端点和限额。
IAM Identity Center 区域数据
启用 IAM Identity Center 时,您在 IAM Identity Center 中配置的所有数据都存储在您配置它的区域中。这些数据包括目录配置、权限集、应用程序实例和对 AWS 账户 应用程序的用户分配。如果使用的是 IAM Identity Center 身份存储,则您在 IAM Identity Center 中创建的所有用户和组也存储在同一区域中。
选择区域
我们建议您将 IAM Identity Center 安装在您计划向用户开放的区域,而不是您可能需要禁用的区域。请参阅 选择 AWS 区域 时的注意事项。
如果您在一个区域的 AWS 组织的管理账户中启用了 IAM Identity Center 的组织实例,之后又决定切换到其他区域,则必须先删除当前的 IAM Identity Center 实例。切换到其他区域也会更改 AWS 访问门户的 URL,您必须重新配置所有权限集和分配。
跨区域调用
当最终用户尝试使用一次性密码(OTP)作为第二个身份验证因素登录时,IAM Identity Center 使用 Amazon Simple Email Service(Amazon SES)向他们发送电子邮件。还会针对某些身份和凭证管理事件(例如邀请用户设置初始密码、验证电子邮件地址和重置密码)发送这些电子邮件。Amazon SES 在 IAM Identity Center 支持的 AWS 区域 的子集中提供。
当 Amazon SES 在 AWS 区域 本地可用时,IAM Identity Center 会调用 Amazon SES 本地端点。当 Amazon SES 在本地不可用时,IAM Identity Center 会调用不同 AWS 区域 中的 Amazon SES 端点,如下表所示。
| IAM Identity Center 区域代码 | IAM Identity Center 区域名称 | Amazon SES 区域代码 | Amazon SES 区域名称 |
|---|---|---|---|
| ap-east-1 | 亚太地区(香港) | ap-northeast-2 | 亚太地区(首尔) |
| ap-south-2 | 亚太地区(海得拉巴) | ap-south-1 | 亚太地区(孟买) |
| ap-southeast-4 | 亚太地区(墨尔本) | ap-southeast-2 | 亚太地区(悉尼) |
| ca-west-1 | 加拿大西部(卡尔加里) | ca-central-1 | 加拿大(中部) |
| eu-south-2 | 欧洲(西班牙) | eu-west-3 | 欧洲地区(巴黎) |
| eu-central-2 | 欧洲(苏黎世) | eu-central-1 | 欧洲地区(法兰克福) |
| me-central-1 | 中东(阿联酋) | eu-central-1 | 欧洲地区(法兰克福) |
| us-gov-east-1 | AWS GovCloud(美国东部) | us-gov-west-1 | AWS GovCloud(美国西部) |
在这些跨区域调用中,IAM Identity Center 可能会发送以下用户属性:
电子邮件地址
名
姓
AWS Organizations 中的帐户
AWS 访问门户 URL
用户名
目录 ID
用户 ID
在选择加入区域(默认禁用的区域)中管理 IAM Identity Center
默认情况下,为所有 AWS 服务中的操作启用了大多数 AWS 区域 区域。将自动激活这些区域以通过 IAM Identity Center 使用。以下 AWS 区域 是选择加入区域,如果您想使用 IAM Identity Center,则必须启用这些区域:
Africa (Cape Town)
亚太地区(香港)
亚太地区(海得拉巴)
亚太地区(雅加达)
亚太地区(墨尔本)
加拿大西部(卡尔加里)
欧洲地区(米兰)
欧洲(西班牙)
欧洲(苏黎世)
以色列(特拉维夫)
中东(巴林)
中东(阿联酋)
当您在选择加入 AWS 区域 中为管理账户启用 IAM Identity Center 时,任何成员账户的以下 IAM Identity Center 元数据都存储在该区域中。
帐户 ID
帐户名称
帐户电子邮件
IAM Identity Center 在成员帐户中创建的 IAM 角色的 Amazon 资源名称(ARN)
禁用启用了 IAM Identity Center 的 AWS 区域
如果您禁用了已安装 IAM Identity Center 的 AWS 区域,则 IAM Identity Center 也会被禁用。在某个区域禁用 IAM Identity Center 后,该区域的用户将无法单点登录访问 AWS 账户 和应用程序。AWS 将您的 IAM Identity Center 配置中的数据保留至少 10 天。如果您在这段时间内重新启用 AWS 区域,则您的 IAM Identity Center 配置数据仍将在该区域可用。
要在选择加入 AWS 区域 中重新启用 IAM Identity Center,必须重新启用该区域。由于 IAM Identity Center 必须重新处理所有暂停的事件,因此重新启用 IAM Identity Center 可能需要一些时间。
注意
IAM Identity Center 只能管理对允许在某个 AWS 区域 中使用的 AWS 账户 的访问权限。要管理组织中所有账户的访问权限,请在自动激活以与 IAM Identity Center 结合使用的 AWS 区域 中的管理账户中启用 IAM Identity Center。
有关启用和禁用 AWS 区域 的更多信息,请参阅 AWS一般参考 中的 管理AWS 区域。
