Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Failover ke Wilayah tambahan untuk akses Akun AWS
Topik Akun AWS akses melalui IAM Identity Center dibahas secara luas dalam. Konfigurasikan akses ke Akun AWS Bagian ini memberikan rincian tambahan yang relevan untuk mempertahankan Akun AWS akses Wilayah AWS di beberapa jika terjadi gangguan layanan di Wilayah utama.
Jika instans Pusat Identitas IAM Anda mengalami gangguan di Wilayah utama, tenaga kerja Anda dapat beralih ke Wilayah tambahan untuk terus mengakses Akun AWS s dan aplikasi yang tidak terpengaruh. Bagian ini Akses tenaga kerja melalui Wilayah tambahan menjelaskan cara mengakses Portal akses AWS di Wilayah tambahan.
Sebaiknya Anda mengomunikasikan Portal akses AWS titik akhir di Wilayah tambahan dan penyiapan IDP eksternal (seperti aplikasi bookmark untuk Wilayah tambahan) kepada tenaga kerja Anda segera setelah Anda menyelesaikan penyiapan. Replikasi Pusat Identitas IAM ke Wilayah tambahan Ini akan memungkinkan mereka untuk siap untuk failover ke Wilayah tambahan jika diperlukan.
Demikian pula, kami menyarankan agar AWS CLI pengguna membuat AWS CLI profil untuk Wilayah tambahan untuk setiap profil yang mereka miliki untuk Wilayah utama. Kemudian, mereka dapat beralih ke profil itu jika ada gangguan layanan di Wilayah utama.
catatan
Kelangsungan akses ke Akun AWS s juga tergantung pada kesehatan IDP eksternal Anda dan izin seperti penetapan set izin dan keanggotaan grup yang disediakan dan direplikasi sebelum gangguan layanan. Kami menyarankan organisasi Anda juga menyiapkan akses AWS break-glass untuk mempertahankan AWS akses ke sekelompok kecil pengguna istimewa ketika iDP eksternal mengalami gangguan layanan. Mengatur akses darurat ke Konsol Manajemen AWSadalah opsi serupa yang menghindari penggunaan pengguna IAM, tetapi itu juga tergantung pada iDP eksternal.
Akun AWS ketahanan akses tanpa beberapa ACS URLs
Beberapa penyedia identitas eksternal (IdPs) tidak mendukung multiple assertion consumer service (ACS) URLs dalam aplikasi IAM Identity Center mereka. Beberapa ACS URLs adalah fitur SAMP yang diperlukan untuk masuk langsung ke Wilayah tertentu di Pusat Identitas IAM Multi-wilayah.
Untuk memungkinkan pengguna mengakses mereka Akun AWS melalui beberapa Wilayah Pusat Identitas IAM, Anda harus mengonfigurasi ACS regional masing-masing URLs di iDP eksternal. Namun, jika iDP eksternal hanya mendukung satu URL ACS di aplikasi Pusat Identitas IAM mereka, pengguna dapat langsung masuk ke satu Wilayah Pusat Identitas IAM.
Untuk mengatasi masalah ini, bekerjalah dengan vendor iDP Anda untuk mengaktifkan dukungan untuk beberapa ACS. URLs Sementara itu, Anda dapat menggunakan Wilayah tambahan sebagai cadangan untuk akses ke Akun AWS.
Jika gangguan layanan Pusat Identitas IAM terjadi di Wilayah utama, Anda harus memperbarui URL ACS di iDP eksternal dengan URL ACS Wilayah tambahan. Setelah pembaruan ini, pengguna Anda dapat mengakses portal AWS akses di Wilayah tambahan menggunakan aplikasi IAM Identity Center yang ada di portal iDP eksternal, atau melalui tautan langsung yang Anda bagikan dengan mereka.
Kami menyarankan Anda menguji penyiapan ini secara berkala untuk memastikan bahwa itu berfungsi saat diperlukan dan mengkomunikasikan proses failover ini ke organisasi Anda.
catatan
Bila Anda menggunakan Wilayah tambahan untuk akses ke Akun AWS dalam pengaturan ini, pengguna Anda mungkin tidak dapat mengakses aplikasi AWS terkelola yang terhubung ke Wilayah utama. Oleh karena itu, kami merekomendasikan ini hanya sebagai tindakan sementara untuk mempertahankan akses ke Akun AWS.
