As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Replique o IAM Identity Center para uma região adicional
<a name="replicate-to-additional-region"></a>

 Se seu ambiente atender aos [pré-requisitos](multi-region-iam-identity-center.md#multi-region-prerequisites), como configurar o IAM Identity Center com uma chave KMS multirregional gerenciada pelo cliente, conclua as etapas a seguir para replicar sua instância do IAM Identity Center em uma região adicional. Sua região principal continua operando normalmente durante e após essas etapas.

## Etapa 1: criar uma chave de réplica na região adicional
<a name="replicate-kms-key"></a>

 Antes de replicar o IAM Identity Center em uma região, você deve primeiro criar uma chave de réplica da chave KMS gerenciada pelo cliente nessa região e configurar a chave de réplica com as permissões necessárias para as operações do IAM Identity Center. Para obter instruções sobre como criar chaves de réplica em várias regiões, consulte [Criar chaves de réplica em várias regiões](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-replicate.html). 

 A abordagem recomendada para as permissões de chave do KMS é copiar a política de chaves da chave primária, o que concede as mesmas permissões já estabelecidas para o IAM Identity Center na região primária. Como alternativa, você pode definir políticas de chave específicas para cada região, embora essa abordagem aumente a complexidade do gerenciamento de permissões entre regiões e possa exigir coordenação adicional ao atualizar políticas no futuro. 

**nota**  
AWS KMS não sincroniza sua política de chaves KMS entre as regiões de sua chave KMS multirregional. Para manter a política de chaves do KMS sincronizada entre as principais regiões do KMS, você precisará aplicar as alterações em cada região individualmente. 

## Etapa 2: adicionar a região no IAM Identity Center
<a name="add-region-step"></a>

Adicionar uma região ao IAM Identity Center aciona a replicação automática dos dados do IAM Identity Center para essa região. A replicação é assíncrona com consistência eventual. As guias a seguir fornecem instruções para fazer isso no Console de gerenciamento da AWS e. AWS CLI

------
#### [ Console ]

 **Para adicionar uma região** 

1.  Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon/). 

1.  No painel de navegação, selecione **Configurações**. 

1.  Escolha a guia **Gerenciamento**. 

1.  Na seção **Regiões para o IAM Identity Center**, escolha **Adicionar região**. 

1.  Na seção **Regiões da AWS disponível para replicação**, escolha sua preferência Região da AWS. Se a região não aparecer na lista, ela não estará disponível para replicação porque a chave KMS não foi replicada lá. Para obter mais informações, consulte [Implementando chaves KMS gerenciadas pelo cliente em Centro de Identidade do AWS IAM](identity-center-customer-managed-keys.md).

1.  Selecione **Adicionar região**. 

1.  Na seção **Regiões do IAM Identity Center**, monitore o status da região. Use o botão **Atualizar** (seta circular) para verificar o status mais recente da região, conforme necessário. Depois que a replicação for concluída, vá para a Etapa 2. 

------
#### [ AWS CLI ]

 **Para adicionar uma região** 

```
aws sso-admin add-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1
```

 **Para verificar o status atual da região** 

```
aws sso-admin describe-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1
```

 Quando o status da Região for ATIVO, você poderá prosseguir para a Etapa 2. 

------

 A duração da replicação inicial para uma região adicional depende da quantidade de dados na sua instância do IAM Identity Center. Na maioria dos casos, as alterações incrementais subsequentes são replicadas em segundos. 

## Etapa 3: atualizar a configuração do IdP externo
<a name="update-external-idp-setup"></a>

 Siga o tutorial do seu IdP externo [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md) para seguir as seguintes etapas: 

 **Etapa 3.a: Adicionar o Assertion Consumer Service (ACS) URLs ao seu IdP externo** 

 Essa etapa permite o login direto em cada região adicional e é necessária para permitir o login em aplicativos AWS gerenciados implantados nessas regiões e para Conta da AWS acesso a s por meio dessas regiões. Para saber onde encontrar o ACS URLs, consulte[Endpoints ACS no primário e adicional Regiões da AWS](multi-region-workforce-access.md#acs-endpoints). 

 **Etapa 3.b (opcional): Portal de acesso da AWS disponibilizar o no portal externo do IdP** 

 Portal de acesso da AWS Disponibilize o na região adicional como um aplicativo de favoritos no portal externo do IdP. Os aplicativos de favoritos contêm apenas um link (URL) para o destino desejado e são semelhantes a um marcador do navegador. Você pode encontrá-las Portal de acesso da AWS URLs no console escolhendo **Exibir tudo Portal de acesso da AWS URLs** na seção **Regiões do IAM Identity Center**. Para obter mais informações, consulte [Portal de acesso da AWS endpoints no primário e adicional Regiões da AWS](multi-region-workforce-access.md#portal-endpoints). 

 O IAM Identity Center é compatível com SAML SSO iniciado pelo IdP em cada região adicional, mas os externos IdPs normalmente oferecem suporte a isso com apenas uma única URL do ACS. Para continuidade, recomendamos manter o URL do ACS da região principal em uso para o SAML SSO iniciado pelo IdP e confiar nos aplicativos de favoritos e nos favoritos do navegador para acessar regiões adicionais. 

## Etapa 4: Confirme as listas de permissões do firewall e do gateway
<a name="confirm-firewall-allowlists"></a>

 [Revise suas listas de permissões de domínio em firewalls ou gateways e atualize-as com base nas listas de permissões documentadas.](enable-identity-center-portal-access.md) 

## Etapa 5: fornecer informações aos seus usuários
<a name="provide-user-information"></a>

 Forneça aos usuários informações sobre a nova configuração, incluindo o Portal de acesso da AWS URL na região adicional e como usar as regiões adicionais. Consulte as seções a seguir para obter detalhes relevantes: 
+  [Acesso à força de trabalho por meio de uma região adicional](multi-region-workforce-access.md) 
+  [Failover para uma região adicional para acesso Conta da AWS](multi-region-failover.md) 
+  [Implantação e gerenciamento de aplicativos em várias AWS regiões](multi-region-application-use.md) 

## A região muda além da adição da primeira região
<a name="making-changes-regions"></a>

Você pode adicionar e remover regiões adicionais. A região primária não pode ser removida a não ser excluindo toda a instância do IAM Identity Center. Para obter mais informações sobre como remover uma região, consulte[Remover uma região do IAM Identity Center](remove-region.md).

Você não pode promover uma região adicional para ser a principal ou rebaixar a região principal para ser adicional.

## Quais dados são replicados?
<a name="replicated-data"></a>

 O IAM Identity Center replica os seguintes dados: 


| Dados | Origem e destino da replicação | 
| --- | --- | 
| Identidades da força de trabalho (usuários, grupos, associações a grupos) | Da região primária às regiões adicionais | 
| Conjuntos de permissões e suas atribuições a usuários e grupos | Da região primária às regiões adicionais | 
| Configuração (como configurações SAML de IdP externo) | Da região primária às regiões adicionais | 
| Metadados de aplicativos e atribuições de aplicativos para usuários e grupos | Da região do centro de identidade do IAM conectada de um aplicativo às outras regiões habilitadas | 
| Emissores de tokens confiáveis | Da região primária às regiões adicionais | 
| Sessões | Da região de origem da sessão para as outras regiões habilitadas | 

**nota**  
 O IAM Identity Center não replica dados armazenados em aplicativos AWS gerenciados. Além disso, isso não altera a abrangência regional da implantação de um aplicativo. Por exemplo, se sua instância do IAM Identity Center estiver no Leste dos EUA (Norte da Virgínia) e você tiver o Amazon Redshift implantado na mesma região, a replicação do IAM Identity Center para o Oeste dos EUA (Oregon) não afetará a região de implantação do Amazon Redshift e os dados que ele armazena. 

 **Considerações:** 
+  **Identificadores globais de recursos nas regiões habilitadas** - usuários, grupos, conjuntos de permissões e outros recursos têm os mesmos identificadores nas regiões habilitadas. 
+  **A replicação não afeta as funções provisionadas do IAM — as funções** existentes do IAM provisionadas a partir de atribuições de conjuntos de permissões são usadas durante o login da conta em qualquer região habilitada.