AWS IAM Identity Center now supports multi-Region replication for AWS account access and application use
AWS IAM Identity Center가 multi-Region 복제 기능을 일반 공개해 17개 기본 활성화 리전에서 workforce identity와 permission set을 복제 가능하게 함
AI 요약
Context
AWS IAM Identity Center는 기존에 단일 primary Region에서만 workforce identity, permission set, application metadata를 관리했다. 이로 인해 primary Region의 IAM Identity Center 서비스 장애 시 workforce가 AWS 계정에 접근할 수 없었고, 특정 Region의 dataset 접근이 필요한 애플리케이션을 배포할 때 user experience와 data residency 요구사항을 동시에 만족하기 어려웠다.
Technical Solution
- Workforce identity, permission set, metadata를 primary Region에서 추가 Region으로 복제: external IdP (Microsoft Entra ID, Okta 등)에 연결된 organization instance만 지원
- Multi-Region AWS KMS key를 사전 구성: customer managed key를 replica Region에 먼저 복제한 후 IAM Identity Center 복제 수행
- 각 Region에서 독립적 AWS access portal endpoint 제공: primary Region 장애 시 추가 Region의 portal로 접근 가능
- Primary Region에서만 centralized 관리 유지: additional Region의 IAM Identity Center 콘솔은 read-only (application management와 user session revocation만 쓰기 가능)
- External IdP에 추가 Region의 SAML ACS URL 등록: user가 IdP 인증 후 해당 Region의 AWS access portal로 redirect되도록 설정
- Additional Region에서 AWS managed application 배포 지원: 기존 배포 워크플로우를 통해 application 배포 가능
Key Takeaway
Multi-Region replication이 필요한 환경에서는 암호화 키 복제부터 identity provider 설정까지 순차적으로 진행해야 하며, primary Region에서의 중앙 집중식 관리 원칙을 유지하면서도 각 Region의 독립적 장애 복구 능력을 확보할 수 있다.
실천 포인트
외부 IdP(Okta, Microsoft Entra ID)와 연동하는 AWS 환경에서 IAM Identity Center multi-Region 복제를 활용할 때, multi-Region AWS KMS key를 선행 구성하고 각 Region에 별도의 AWS access portal endpoint를 생성하면 primary Region 장애 상황에서도 workforce의 계정 접근 가능성을 유지할 수 있다.