Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas de aplicaciones de varios inquilinos
Los grupos de usuarios de Amazon Cognito funcionan con aplicaciones de varios inquilinos que generan un volumen de solicitudes que deben permanecer dentro de las cuotas de Amazon Cognito. Para ampliar esta capacidad cuando su base de clientes crezca, puede adquirir una capacidad de cuota adicional.
nota
Las cuotas de Amazon Cognito se aplican por Cuenta de AWS y. Región de AWS Estas cuotas se comparten entre todos los inquilinos de la aplicación. Revise las cuotas de servicio de Amazon Cognito y asegúrese de que la cuota cumpla con el volumen y el número de inquilinos esperados en su solicitud.
En esta sección se describen los métodos que puede implementar para separar los inquilinos entre los recursos de Amazon Cognito de la misma región y. Cuenta de AWS También puede dividir a sus inquilinos en más de una Cuenta de AWS o más regiones y asignar a cada uno de ellos su propia cuota. Otras ventajas de la tenencia multirregional incluyen el mayor nivel de aislamiento posible, el menor tiempo de tránsito de la red para los usuarios distribuidos por todo el mundo y la adhesión a los modelos de distribución existentes en su organización.
La tenencia múltiple de una sola región también puede suponer ventajas para sus clientes y administradores.
En la siguiente lista se describen algunas de las ventajas de la tenencia múltiple con recursos compartidos.
Ventajas de la tenencia múltiple
- Directorio de usuarios común
-
La multitenencia admite modelos en los que los clientes tienen cuentas en más de una aplicación. Puede vincular identidades de proveedores externos en un único perfil de grupo de usuarios coherente. En los casos en que los perfiles de usuario son exclusivos de su arrendatario, cualquier estrategia de arrendamiento múltiple con un solo grupo de usuarios tiene un punto de entrada para la administración de usuarios.
- Seguridad común
-
En un grupo de usuarios compartido, puede crear un único estándar de seguridad y aplicar la misma seguridad avanzada, la misma autenticación multifactorial (MFA) y los mismos AWS WAFestándares a todos los usuarios. Como una AWS WAF web ACL debe estar en el mismo Región de AWS lugar que el recurso al que se asocia, la opción de arrendamiento múltiple ofrece acceso compartido a un recurso complejo. Si desea mantener una configuración de seguridad uniforme en las aplicaciones de Amazon Cognito de varias regiones, debe aplicar estándares operativos que repliquen la configuración entre los recursos.
- Personalización común
-
Puede personalizar los grupos de usuarios y los grupos de identidades con AWS Lambda. La configuración de los activadores de Lambda en los grupos de usuarios y los eventos de Amazon Cognito en los grupos de identidades puede resultar compleja. Las funciones de Lambda deben estar en el Región de AWS mismo grupo de usuarios o grupo de identidades. Las funciones Lambda compartidas pueden aplicar estándares para los flujos de autenticación personalizados, la migración de usuarios, la generación de tokens y otras funciones dentro de una región.
- Mensajería común
-
Amazon Simple Notification Service (AmazonSNS) requiere una configuración adicional en una región para poder enviar SMSmensajes a los usuarios. Puede enviar mensajes de correo electrónico con identidades y dominios verificados de Amazon Simple Email Service (AmazonSES) que se encuentren dentro de una región.
Con la multitenencia, puede compartir esta configuración y los gastos de mantenimiento entre todos sus inquilinos. Como Amazon SNS y Amazon SES no están disponibles en todas partes Regiones de AWS, es necesario tener en cuenta la posibilidad de dividir los recursos entre regiones.
Cuando utiliza proveedores de mensajería personalizados, obtiene la personalización habitual de una sola función de Lambda para gestionar la entrega de mensajes.
La interfaz de usuario alojada establece una cookie de sesión en el navegador para que reconozca a un usuario que ya se ha autenticado. Al autenticar a los usuarios locales en un grupo de usuarios, su cookie de sesión los autentica para todos los clientes de aplicaciones del mismo grupo de usuarios. Un usuario local existe exclusivamente en el directorio del grupo de usuarios sin federación a través de un IdP externo. La cookie de sesión es válida durante una hora. No puede cambiar la duración de la sesión de la cookie.
Hay dos formas de impedir el inicio de sesión en todos los clientes de aplicaciones con una cookie de sesión de interfaz de usuario alojada.
-
Separe a los usuarios en grupos de usuarios por inquilino.
-
Sustituya el inicio de sesión de la interfaz de usuario alojada por el inicio de sesión en grupos de usuarios API de Amazon Cognito.
Temas
- Prácticas recomendadas para un grupo de usuarios con varios arrendatarios
- Prácticas recomendadas para la multitenencia de aplicaciones y clientes
- Mejores prácticas de arrendamiento múltiple para grupos de usuarios
- Mejores prácticas de tenencia múltiple con atributos personalizados
- Mejores prácticas de arrendamiento múltiple con alcance personalizado
- Recomendaciones de seguridad para la arquitectura de varios inquilinos
