中的彈性 AWS Identity and Access Management

AWS 全球基礎設施是以 AWS 區域和可用區域為基礎建置。 AWS 區域具有多個實體分隔和隔離的可用區域，這些可用區域以低延遲、高輸送量和高度備援的聯網連接。如需 AWS 區域和可用區域的詳細資訊，請參閱 AWS 全球基礎設施。

AWS Identity and Access Management (IAM) 和 AWS Security Token Service (AWS STS) 是可全域使用的自我維持、以區域為基礎的服務。

IAM 至關重要 AWS 服務。在 中執行的每個操作 AWS 都必須經過 IAM 驗證和授權。IAM 會根據 IAM 中儲存的身分和政策檢查每個請求，以判斷是否允許或拒絕請求。IAM 設計有一個單獨的控制平面和資料平面，以便服務即使在意外故障期間也會進行驗證。授權中使用的 IAM 資源 (例如角色和政策) 會儲存在控制平面中。IAM 客戶可以使用諸如 DeletePolicy 和 AttachRolePolicy 等 IAM 操作來變更這些資源的組態。這些組態變更請求會移至控制平面。所有商業商品都有一個 IAM 控制平面 AWS 區域，位於美國東部 （維吉尼亞北部） 區域。然後，IAM 系統會將組態變更傳播至每個已啟用 AWS 區域 的 IAM 資料平面。IAM 資料平面基本上是 IAM 控制平面組態資料的唯讀複本。每個 AWS 區域 都有 IAM 資料平面的完全獨立執行個體，其會針對來自相同區域的請求執行身分驗證和授權。在每個區域中，IAM 資料平面至少分佈在三個可用區域，並具有足夠的容量來容忍可用區域的損失，而不會造成任何客戶損失。IAM 控制平面和資料平面都是針對零計劃停機而構建，以客戶看不到的方式執行所有軟體更新和擴展操作。

AWS STS 根據預設， 請求一律會移至單一全域端點。您可以使用區域 AWS STS 端點來降低延遲，或是為應用程式提供額外的備援。如需進一步了解，請參閱 在 AWS STS 中管理 AWS 區域。

某些事件可能會中斷 AWS 區域 透過網路在 之間的通訊。不過，即使您無法與全域 IAM 端點通訊， 仍然 AWS STS 可以驗證 IAM 主體，IAM 可以授權您的請求。中斷通訊的事件的特定詳細資訊將決定您存取 AWS 服務的能力。在大多數情況下，您可以繼續使用 AWS 環境中的 IAM 登入資料。下列情況可能適用於中斷通訊的事件。

IAM 彈性的最佳實務

AWS 已將彈性建置到 AWS 區域 和可用區域。當您在與環境互動的系統中觀察下列 IAM 最佳實務時，可以充分利用該彈性。