AWS IAM Identity Center가 multi-Region 복제 기능을 일반 공개해 17개 기본 활성화 리전에서 workforce identity와 permission set을 복제 가능하게 함

Context

AWS IAM Identity Center는 기존에 단일 primary Region에서만 workforce identity, permission set, application metadata를 관리했다. 이로 인해 primary Region의 IAM Identity Center 서비스 장애 시 workforce가 AWS 계정에 접근할 수 없었고, 특정 Region의 dataset 접근이 필요한 애플리케이션을 배포할 때 user experience와 data residency 요구사항을 동시에 만족하기 어려웠다.

Technical Solution

• Workforce identity, permission set, metadata를 primary Region에서 추가 Region으로 복제: external IdP (Microsoft Entra ID, Okta 등)에 연결된 organization instance만 지원
• Multi-Region AWS KMS key를 사전 구성: customer managed key를 replica Region에 먼저 복제한 후 IAM Identity Center 복제 수행
• 각 Region에서 독립적 AWS access portal endpoint 제공: primary Region 장애 시 추가 Region의 portal로 접근 가능
• Primary Region에서만 centralized 관리 유지: additional Region의 IAM Identity Center 콘솔은 read-only (application management와 user session revocation만 쓰기 가능)
• External IdP에 추가 Region의 SAML ACS URL 등록: user가 IdP 인증 후 해당 Region의 AWS access portal로 redirect되도록 설정
• Additional Region에서 AWS managed application 배포 지원: 기존 배포 워크플로우를 통해 application 배포 가능

Key Takeaway

Multi-Region replication이 필요한 환경에서는 암호화 키 복제부터 identity provider 설정까지 순차적으로 진행해야 하며, primary Region에서의 중앙 집중식 관리 원칙을 유지하면서도 각 Region의 독립적 장애 복구 능력을 확보할 수 있다.