Replicação de Identidades Corporativas em Múltiplas Regiões
O IAM Identity Center, serviço da AWS para gerenciamento de acesso corporativo, recebeu uma expansão significativa: agora suporta replicação em múltiplas regiões geográficas. Anteriormente, o portal de acesso da AWS estava disponível apenas em uma região. Com essa novidade, as organizações podem configurar regiões adicionais, garantindo que mesmo em caso de problemas na região primária, os usuários continuem tendo acesso através de um endpoint de portal alternativo.
Essa capacidade de replicação abre novas possibilidades para empresas que precisam atender usuários distribuídos globalmente ou que têm requisitos rigorosos de soberania de dados. Ao implantar o Identity Center em regiões mais próximas aos seus usuários, as organizações reduzem a latência nas operações de autenticação e autorização. Além disso, mantêm a administração centralizada: todas as configurações de nível de instância continuam sendo gerenciadas pela região primária.
Alinhamento com Aplicações Gerenciadas da AWS
A replicação multi-região também habilita a implantação de aplicações gerenciadas da AWS em regiões adicionais. Serviços como o AWS Deadline Cloud agora podem ser configurados em regiões secundárias com suporte completo ao Identity Center local. Essa aproximação reduz a latência nas operações e facilita o cumprimento de regulamentações regionais de conformidade.
Pré-Requisitos e Limitações Importantes
Antes de Começar
Antes de habilitar o suporte multi-região, algumas confirmações são necessárias. Primeiro, as aplicações gerenciadas já implantadas devem suportar o Identity Center configurado com chave KMS gerenciada pelo cliente. Além disso, todas as futuras aplicações que serão implantadas em regiões adicionais devem também oferecer esse suporte.
A organização deve estar utilizando uma instância de organização do Identity Center conectada a um provedor de identidade externo, como Okta ou Microsoft Entra ID. Tanto a região primária quanto as regiões adicionais precisam ser regiões comerciais habilitadas por padrão.
Restrições a Considerar
Existem limitações técnicas que precisam ser consideradas. Instâncias de conta do Identity Center não suportam replicação multi-região. A sincronização através de Microsoft Active Directory ou do diretório Identity Center como fonte de identidade não é compatível com essa funcionalidade. Regiões AWS de participação opcional não estão suportadas.
O portal de acesso em regiões adicionais não oferece suporte a alias customizado, ou seja, subdomínios escolhidos pela organização. O acesso a contas AWS através de regiões adicionais funciona apenas com permissões já provisionadas; novas atribuições de permission sets e filiações de grupos devem ser gerenciadas exclusivamente na região primária e são replicadas automaticamente.
Configuração Prática da Replicação Multi-Região
Criação de Chaves KMS Multi-Região
O processo começa com a configuração de chaves KMS gerenciadas pelo cliente que funcionem em múltiplas regiões. O Identity Center utiliza essas chaves para criptografar dados de identidade, como atributos de usuários. Como o mesmo material de chave precisa estar disponível em cada região, é necessário criar uma chave multi-região a partir da conta de gerenciamento da AWS Organizations.
Cada chave AWS KMS tem custo associado de uso e armazenamento. Consulte a página de preços do AWS KMS para detalhes sobre a estrutura de custos. Após criar a chave na região primária, replique-a para cada região adicional onde o Identity Center será replicado. As chaves de réplica herdam automaticamente a política de chave da chave primária, mas modificações futuras à política devem ser aplicadas manualmente a cada réplica.
Adição de Regiões Adicionais
Uma vez que a replicação de chaves esteja completa, o próximo passo é adicionar regiões adicionais através do console do Identity Center. Navegue até a seção de Configurações, escolha a opção de adicionar região e selecione a região desejada a partir da lista. O console exibe apenas regiões comerciais habilitadas por padrão onde a chave KMS foi previamente replicada.
Após adicionar uma região, o Identity Center exibe um status de “Replicando” enquanto sincroniza identidades de força de trabalho, configurações e metadados para o novo local. Esse processo inicial leva entre 15 e 30 minutos, dependendo do tamanho da instância. Mudanças subsequentes são replicadas em segundos.
Quando a replicação se completa, o status muda para “Replicado” e os endpoints do Identity Center na região adicional ficam ativos. Isso significa que os usuários podem acessar contas AWS através dos portais de acesso de ambas as regiões.
Atualização da Configuração do Provedor de Identidade
Sincronização de Endpoints SAML
Com o Identity Center replicado para regiões adicionais, é necessário atualizar a configuração do provedor de identidade externo. O Identity Center oferece suporte a dois fluxos de autenticação: aquele em que o usuário inicia a autenticação a partir do portal de acesso ou de uma aplicação gerenciada (inicializado pelo provedor de serviços), e aquele em que o usuário começa no portal do provedor de identidade (inicializado pelo IdP).
Na autenticação inicializada pelo provedor de serviços, quando um usuário tenta se autenticar, o Identity Center o redireciona para a página de autenticação do seu provedor de identidade. Após autenticação bem-sucedida, a resposta é enviada para o endpoint regional de serviço de consumidor de asserções SAML do Identity Center. O endpoint em cada região possui uma URL diferente.
Para que a autenticação seja bem-sucedida em regiões adicionais, é necessário adicionar o novo endpoint regional à configuração do provedor de identidade. Na aplicação Identity Center dentro do IdP externo, adicione a URL ACS da região adicional para que a aplicação contenha as URLs ACS de ambas as regiões. Mantenha a URL existente como a primeira da lista, pois o provedor de identidade a utiliza como destino de redirecionamento padrão para autenticações iniciadas pelo IdP.
Aplicações de Bookmark para Portais Regionais
Como usuários agora precisam acessar portais específicos de região, recomenda-se criar uma aplicação de bookmark no provedor de identidade. Embora os usuários possam fazer bookmark direto da URL no navegador, oferecer uma aplicação de bookmark torna a região adicional descoberta no portal do IdP sem exigir que cada usuário salve manualmente uma URL.
Essa aplicação de bookmark funciona como um atalho de navegador e contém apenas a URL do portal de acesso da região adicional. Os usuários podem acessar a aplicação pelo portal do IdP para alcançar o portal de acesso específico de sua região. Após criar a aplicação, conceda aos grupos e usuários permissão para acessá-la no IdP externo.
Testes da Configuração Multi-Região
Acesso a Contas AWS pela Região Adicional
As atribuições de permission sets que existem na região primária são replicadas automaticamente para regiões adicionais. Isso significa que, em caso de problemas com o Identity Center na região primária, a organização pode usar a região adicional para continuar acessando contas AWS através do portal de acesso.
Para validar o acesso, navegue até o console do Identity Center, vá para Configurações e escolha visualizar as URLs do portal de acesso. Selecione a URL da região adicional, que abrirá o portal em uma nova aba. Confirme que pode visualizar os permission sets atribuídos e acessar as contas AWS desejadas.
Acesso Pela Interface de Linha de Comando
A Interface de Linha de Comando da AWS se conecta a uma região específica do Identity Center para autenticar usuários e obter credenciais. Para clientes utilizando replicação multi-região, recomenda-se criar múltiplos perfis regionais de CLI—um para a região primária e outro para cada região adicional. Perfis separados permitem alternar rapidamente entre regiões durante uma interrupção sem reconfigurações.
Configure dois perfis de CLI adicionando as seguintes configurações ao arquivo ~/.aws/config:
[profile ReadOnly]
sso_role_name=ReadOnly
sso_account=<account-Id>
sso_session=us-east-1
[sso-session us-east-1]
sso_region=us-east-1
sso_start_url=https://identitycenter.amazonaws.com/ssoins-<instance-Id>
[profile ReadOnly-additional]
sso_role_name=ReadOnly
sso_account=<account-Id>
sso_session=eu-central-1
[sso-session eu-central-1]
sso_region=eu-central-1
sso_start_url=https://identitycenter.amazonaws.com/ssoins-<instance-Id>Após configurar os perfis, autentique-se em cada endpoint regional do Identity Center independentemente utilizando os comandos aws sso login --profile ReadOnly para a região primária e aws sso login --profile ReadOnly-additional para a região adicional. Cada comando abre uma janela do navegador para o portal de acesso correspondente, onde você completa o fluxo de autenticação.
Implantação de Aplicações Gerenciadas
Para testar a implantação de aplicações em regiões adicionais, navegue até o console da aplicação gerenciada desejada—como AWS Deadline Cloud—e alterne para a região adicional. Siga o assistente de configuração. O Identity Center da região adicional é automaticamente selecionado pelo assistente de configuração da aplicação.
Durante a configuração, selecione os grupos que terão acesso à aplicação, verificando se você é membro de algum deles. Esses grupos foram sincronizados automaticamente a partir do seu provedor de identidade para o Identity Center. Após completar a implantação da aplicação, ela estará configurada para usar as APIs do Identity Center locais da região para autenticação de usuários e acesso a identidades corporativas.
Resiliência e Roteamento Automático
O Identity Center fornece endpoints regionais para o portal de acesso quando a replicação multi-região está habilitada. As organizações podem acessar essas instâncias regionais diretamente ou construir um sistema de redirecionamento que roteia inteligentemente usuários para o endpoint de portal mais próximo disponível, com capacidades de failover automático.
Para uma implementação serverless de failover automático, é possível combinar diversos serviços da AWS: Route 53 para gerenciar roteamento DNS com verificações de integridade, Application Recovery Controller para orquestrar lógica de failover, e Application Load Balancer para realizar redirecionamentos HTTP para os endpoints regionais apropriados do portal de acesso.
Controle de Administração por Região
A região primária funciona como centro de gerenciamento centralizado para configurações em nível de instância, enquanto regiões adicionais oferecem capacidades de gerenciamento de aplicações locais e acesso resiliente a contas AWS. O gerenciamento de aplicações ocorre sempre na região onde a aplicação foi configurada.
O gerenciamento de identidades de força de trabalho, revogação de sessões de usuário e configuração de nível de instância são realizados na região primária. As regiões adicionais oferecem acesso somente leitura para esses aspectos. Atribuições de usuários a aplicações específicas de região, implantação de aplicações SAML e OAuth2 customizadas, e acesso a contas AWS podem ser gerenciados em ambas as regiões, porém de forma independente.
Conclusão
A capacidade de replicar o IAM Identity Center através de múltiplas regiões representa uma evolução importante na estratégia de gerenciamento de identidades da AWS. Organizações que dependem do Identity Center para acesso corporativo agora podem estender essa proteção e funcionalidade a múltiplas regiões geográficas, garantindo resiliência, baixa latência e conformidade com requisitos regionais.
A implementação exige atenção a pré-requisitos técnicos, como a disponibilidade de chaves KMS multi-região e compatibilidade de aplicações. Com essas bases estabelecidas, as organizações ganham a flexibilidade de operações distribuídas mantendo controle centralizado sobre políticas de acesso e configurações de segurança. Para explorar a gama completa de capacidades do Identity Center multi-região, consulte a documentação sobre o uso do IAM Identity Center em múltiplas regiões AWS.
Fonte
Deploy AWS applications and access AWS accounts across multiple Regions with IAM Identity Center (https://aws.amazon.com/blogs/security/deploy-aws-applications-and-access-aws-accounts-across-multiple-regions-with-iam-identity-center/)
Leave a Reply