AWS IAM Identity Center 地区可用性 - AWS IAM Identity Center
IAM身份中心区域数据跨区域调用在可选区域管理IAM身份中心

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS IAM Identity Center 地区可用性

您可以在大多数情况下启用IAM身份中心, AWS 区域 并且可供全球用户使用。这种全球可用性使您可以更轻松地配置用户对多个 AWS 账户 和应用程序的访问权限。当您的用户登录AWS 访问门户时,他们可以选择他们有权访问的,然后访问 AWS Management Console。 AWS 账户 有关IAM身份中心支持的完整列表 AWS 区域 ,请参阅IAM身份中心终端节点和配额

IAM身份中心区域数据

启用 IAM Identity Center 后,您在IAM身份中心配置的所有数据都存储在您配置它的区域中。这些数据包括目录配置、权限集、应用程序实例和对 AWS 账户 应用程序的用户分配。如果您使用的是 Identity Center IAM 身份存储,则您在 Ident IAM ity Center 中创建的所有用户和群组也将存储在同一区域中。

选择你所在的地区

我们建议您将IAM身份中心安装在您打算向用户开放的区域,而不是您可能需要禁用的区域。请参阅 选择的注意事项 AWS 区域

如果您在一个区域的组织管理账户中启用了 Identit IAM y Center 的 AWS 组织实例,然后决定切换到其他区域,则必须先删除当前的 Identit IAM y Center 实例。切换到其他区域也会更改 AWS 访问门户URL的权限,您必须重新配置所有权限集和分配。

跨区域调用

IAM当最终用户尝试使用一次性密码 (SES) 作为第二个身份验证因素登录时,Identity Center 使用亚马逊简单电子邮件服务 (AmazonOTP) 向他们发送电子邮件。还会针对某些身份和凭证管理事件(例如邀请用户设置初始密码、验证电子邮件地址和重置密码)发送这些电子邮件。SESAmazon 在IAM身份中心支持的子集中可用。 AWS 区域

IAM当亚马逊在SES本地可用时,Identity Cen SES ter 会调用亚马逊本地终端节点 AWS 区域。当亚马逊在本地SES不可用时,Ident IAM ity Center 会以不同的方式调用亚马逊SES终端节点 AWS 区域,如下表所示。

IAM身份中心区域代码 IAM身份中心区域名称 亚马逊SES地区代码 亚马逊SES地区名称
ap-east-1 亚太地区(香港) ap-northeast-2 亚太地区(首尔)
ap-south-2 亚太地区(海得拉巴) ap-south-1 亚太地区(孟买)
ap-southeast-4 亚太地区(墨尔本) ap-southeast-2 亚太地区(悉尼)
ca-west-1 加拿大西部(卡尔加里) ca-central-1 加拿大(中部)
eu-south-2 欧洲(西班牙) eu-west-3 欧洲地区(巴黎)
eu-central-2 欧洲(苏黎世) eu-central-1 欧洲地区(法兰克福)
me-central-1 中东 (UAE) eu-central-1 欧洲地区(法兰克福)
us-gov-east-1 AWS GovCloud (美国东部) us-gov-west-1 AWS GovCloud (美国西部)

在这些跨区域呼叫中,IAMIdentity Center 可能会发送以下用户属性:

  • 电子邮件地址

  • 账号进入 AWS Organizations

  • AWS 访问门户 URL

  • 用户名

  • 目录 ID

  • 用户 ID

在可选区域(默认情况下禁用的区域)中管理IAM身份中心

默认情况下,所有 AWS 服务中的操作 AWS 区域 都启用了大多数功能。这些区域会自动激活,以便与IAM身份中心配合使用。以下 AWS 区域 是可选区域,如果要使用 Ident IAM ity Center,则必须启用这些区域:

  • Africa (Cape Town)

  • 亚太地区(香港)

  • 亚太地区(海得拉巴)

  • 亚太地区(雅加达)

  • 亚太地区(墨尔本)

  • 加拿大西部(卡尔加里)

  • 欧洲地区(米兰)

  • 欧洲(西班牙)

  • 欧洲(苏黎世)

  • 以色列(特拉维夫)

  • 中东(巴林)

  • 中东 (UAE)

当您在选择加入时为管理账户启用 IAM Identity Center 时 AWS 区域,任何成员账户的以下IAM身份中心元数据都存储在该区域中。

  • 帐户 ID

  • 帐户名称

  • 帐户电子邮件

  • IAM身份中心在成员账户中创建的IAM角色的 Amazon 资源名称 (ARNs)

禁用启用IAM身份中心 AWS 区域 的地方

如果您禁用安装 AWS 区域 了IAM身份中心的,则IAM身份中心也会被禁用。在某个区域禁用 Ident IAM ity Center 后,该区域的用户将无法通过单点登录访问 AWS 账户 和应用程序。 AWS 将IAM身份中心配置中的数据保留至少 10 天。如果您在这段时间 AWS 区域 内重新启用,则您的 Ident IAM ity Center 配置数据仍将在该地区可用。

要在选择加入模式下重新启用 IAM Identity Center AWS 区域,您必须重新启用该区域。由于 IAM Identity Center 必须重新处理所有暂停的事件,因此重新启用 Ident IAM ity Center 可能需要一些时间。

注意

IAMIdentity Center 只能管理允许在中使用的访问权限 AWS 区域。 AWS 账户 要管理组织中所有账户的访问权限,请在管理账户中启用 Ident IAM ity Center AWS 区域 ,该账户会自动激活以与 Ident IAM ity Center 配合使用。

有关启用和禁用的更多信息 AWS 区域,请参阅《AWS 一般参考》 AWS 区域中的 “管理”。