弹性设计和区域行为

IAM身份中心服务是完全托管的，使用高度可用和持久的 AWS 服务，例如 Amazon S3 和 Amazon EC2。为了确保可用区中断时的可用性，Ident IAM ity Center 跨多个可用区运行。

您可以在 AWS Organizations 管理账户中启用IAM身份中心。这是必需的，这样 Ident IAM ity Center 才能在您的 AWS 账户所有角色中配置、取消配置和更新角色。启用 Ident IAM ity Center 时 AWS 区域 ，它会部署到当前选定的。如果要部署到特定的区域 AWS 区域，请在启用 Ident IAM ity Center 之前更改区域选择。

注意

IAMIdentity Center 仅控制其主区域对其权限集和应用程序的访问权限。当IAM身份中心在单个区域运行时，我们建议您考虑与访问控制相关的风险。

尽管 IAM Identity Center 可以确定您启用该服务的区域的访问权限，但访问权限 AWS 账户 是全球性的。这意味着，用户登录IAM身份中心后，当他们 AWS 账户 通过IAM身份中心访问时，他们可以在任何区域进行操作。但是 SageMaker，大多数 AWS 托管应用程序（例如 Amazon）必须安装在IAM身份中心所在的区域，用户才能对这些应用程序进行身份验证和分配访问权限。有关在 Ident IAM ity Center 中使用应用程序时的区域限制的信息，请参阅该应用程序的文档。

您还可以使用 Identity Center 对可通过公共访问的SAML基于应用程序的IAM身份进行身份验证和授权URL，无论应用程序是在哪个平台或云上构建的。

我们不建议使用IAM Identity Center 的账户实例作为实现弹性的手段，因为它会创建第二个与您的组织实例无关的隔离控制点。

专为可用性而设计

下表提供了 Ident IAM ity Center 旨在实现的可用性。这些值并不代表服务级别协议或保证，而是提供对设计目标的见解。可用性百分比指的是对数据或函数的访问权限，而不是指持久性（例如，数据的长期保留）。

服务组件	可用性设计目标
数据平面（包括登录）	99.95%
控制层面	99.90%