View a markdown version of this page

Multi-Region replikasi untuk kumpulan pengguna - Amazon Cognito
Hal-hal yang perlu diketahui tentang replikasi Multi-wilayahKeterbatasan replikasi Multi-wilayahMengkonfigurasi replikasi Multi-wilayahFailover di kumpulan pengguna Multi-wilayah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Multi-Region replikasi untuk kumpulan pengguna

Dengan Multi-region replication (MRR), Anda dapat membuat kumpulan pengguna replika sebagai tambahan Wilayah AWS untuk memberikan kelangsungan bisnis dan kemampuan pemulihan bencana untuk infrastruktur otentikasi Anda. Dengan MRR, pengguna terdaftar dapat terus mengautentikasi dengan aplikasi Anda bahkan ketika Anda kehilangan konektivitas ke sumber daya di Wilayah, memastikan aplikasi Anda tetap tersedia.

Saat Anda mengonfigurasi MRR, Amazon Cognito membuat kumpulan pengguna terpisah dengan ID kumpulan pengguna bersama. Setiap kumpulan pengguna replika menghosting layanan otentikasi untuk direktori pengguna bersama. Kumpulan pengguna utama berfungsi sebagai sumber otoritatif untuk konfigurasi administratif dan operasi penulisan direktori pengguna seperti pengaturan ulang kata sandi dan pendaftaran pengguna. Kumpulan pengguna sekunder tidak dapat membuat pengguna, mewarisi sebagian besar pengaturan dari kumpulan pengguna utama, dan dalam status failover dapat menangani operasi otentikasi seperti login pengguna dan pembuatan token.

penting

Multi-Region replikasi tidak tersedia untuk semua kumpulan pengguna saat ini. Multi-Region replikasi membutuhkan infrastruktur Amazon Cognito modern dengan kemampuan dan skalabilitas yang ditingkatkan. Beberapa kumpulan pengguna masih berada di infrastruktur sebelumnya dan akan ditingkatkan AWS ke infrastruktur baru, yang akan membuka kunci fitur ini. Di konsol Amazon Cognito, kumpulan pengguna yang memenuhi syarat menampilkan opsi konfigurasi replikasi Multi-wilayah, dan kumpulan yang tidak memenuhi syarat menampilkan pesan pengecualian. Untuk informasi selengkapnya, lihat Amazon Cognito membuka kunci kemampuan lanjutan dengan infrastruktur generasi berikutnya di Blog Keamanan. AWS

Hal-hal yang perlu diketahui tentang replikasi Multi-wilayah

  • Multi-Region replikasi memiliki biaya tambahan terpisah dan mengharuskan kumpulan pengguna Anda berada di paket fitur Essentials atau Plus. Anda tidak dapat mengaktifkan MRR di kumpulan pengguna dengan paket fitur Lite.

  • Anda harus mengonfigurasi kumpulan pengguna Anda dengan kunci terkelola pelanggan Multi-wilayah AWS KMS sebelum mengaktifkan replikasi. Kunci harus tersedia di semua Wilayah AWS yang memiliki replika kumpulan pengguna. Untuk informasi selengkapnya, lihat Enkripsi data.

  • Kumpulan pengguna Anda harus menggunakan penerbit OIDC Multi-wilayah untuk memastikan validasi token yang konsisten di seluruh wilayah. Untuk informasi selengkapnya, lihat Kumpulan pengguna Amazon Cognito sebagai penerbit OIDC.

  • Kumpulan pengguna sekunder baru dimulai di INACTIVE negara bagian. Tinjau dan konfigurasikan pengaturan regional sebelum mengaktifkan kumpulan pengguna untuk penggunaan produksi.

  • Konfigurasi regional dapat berbeda antara replika. Anda dapat mengonfigurasi pengaturan berikut secara independen dalam replika. Semua pengaturan lain diatur dalam kumpulan pengguna utama dan secara otomatis disinkronkan ke sekunder.

    • Konfigurasi email

    • Konfigurasi email untuk pemberitahuan perlindungan ancaman

    • Konfigurasi SMS

    • Pemicu Lambda

    • Tag

    • Konfigurasi ekspor log

    • AWS WAF ACL web

  • Replikasi data antar wilayah dapat menyebabkan penundaan singkat. Kumpulan pengguna utama menyinkronkan pengaturan dan pembaruan direktori pengguna ke sekunder, dan proses ini pada akhirnya konsisten.

Keterbatasan replikasi Multi-wilayah

  • Anda tidak dapat menghasilkan pengguna baru di kumpulan pengguna sekunder, baik dengan mendaftar atau dengan pembuatan administrator. Pengguna federasi baru hanya dapat masuk ke kumpulan pengguna sekunder dalam status failover jika mereka sebelumnya telah masuk ke kumpulan pengguna utama.

  • Pengguna tidak dapat mengatur ulang kata sandi mereka atau memodifikasi profil mereka di kumpulan pengguna sekunder. Dalam status failover, nonaktifkan operasi ini di antarmuka pengguna dan sediakan setelah pemeriksaan kesehatan Anda mengembalikan akses ke kumpulan pengguna utama.

  • Anda dapat memiliki paling banyak satu replika sekunder di Wilayah tambahan per direktori pengguna. Setiap kumpulan pengguna dapat memiliki replika sekunder.

  • TOTP MFA tidak didukung dalam replika sekunder. Pengguna dengan TOTP MFA yang dikonfigurasi harus mengautentikasi saat kumpulan pengguna di Wilayah utama melayani permintaan.

  • Jumlah upaya otentikasi berbasis kata sandi sebelum penguncian tidak disinkronkan di seluruh Wilayah. Setiap replika mempertahankan hitungan sendiri dari upaya otentikasi yang gagal.

  • Anda hanya dapat mengonfigurasi failover otomatis kumpulan pengguna Multi-wilayah dengan domain khusus.

Mengkonfigurasi replikasi Multi-wilayah

Sebelum Anda dapat mengaktifkan replikasi Multi-wilayah, pastikan kumpulan pengguna Anda memenuhi prasyarat: Paket fitur Essentials atau Plus, kunci KMS yang dikelola pelanggan multi-wilayah, dan konfigurasi penerbit OIDC Multi-wilayah.

Konsol Manajemen AWS
Untuk mengonfigurasi replikasi Multi-region untuk kumpulan pengguna

  1. Masuk ke konsol Amazon Cognito.

  2. Pilih kumpulan Pengguna.

  3. Pilih kumpulan pengguna yang ada dari daftar, atau buat kumpulan pengguna baru.

  4. Pilih tab Pengaturan.

  5. Di menu navigasi kiri, pilih Multi-Regionreplikasi.

  6. Pilih Buat kumpulan pengguna replika.

  7. Untuk Wilayah, pilih Wilayah AWS tempat Anda ingin membuat kumpulan pengguna replika.

  8. Tinjau ringkasan konfigurasi dan pilih Buat replika.

  9. Setelah replika dibuat, tinjau pengaturan konfigurasi regional di tabel perbandingan. Konfigurasikan pengaturan khusus wilayah seperti konfigurasi email, pengaturan SMS, atau pemicu Lambda sesuai kebutuhan untuk wilayah replika Anda.

  10. Untuk mengonfigurasi pemeriksaan kesehatan Route 53 untuk domain Anda, navigasikan ke menu Layanan Domain, edit atau tambahkan domain khusus, dan konfigurasikan ID pemeriksaan kesehatan Route 53.

  11. Saat Anda siap menggunakan replika untuk lalu lintas produksi, ubah status replika dari Tidak Aktif menjadi Aktif.

API

Untuk membuat kumpulan pengguna replika, gunakan CreateUserPoolReplicaoperasi. Contoh berikut membuat replika di us-west-2 wilayah untuk kumpulan pengguna utama dius-east-1.

{
   "UserPoolId": "us-east-1_EXAMPLE",
   "RegionName": "us-west-2",
   "UserPoolTags": {
      "Environment": "Production",
      "Application": "MyApp"
   }
}

Tanggapan tersebut mencakup informasi replika:

{
   "Replica": {
      "RegionName": "us-west-2",
      "UserPoolArn": "arn:aws:cognito-idp:us-west-2:111122223333:userpool/us-east-1_EXAMPLE",
      "Status": "PENDING_CREATE",
      "Role": "SECONDARY"
   }
}

Anda juga harus mengonfigurasi domain Anda untuk failover. Siapkan pemeriksaan kesehatan di Route 53 dan terapkan ke domain Anda dalam UpdateUserPoolDomainpermintaan:

{
   "CustomDomainConfig": { 
      "CertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
   },
   "Domain": "auth.example.com",
   "ManagedLoginVersion": 2,
   "Routing": {
      "Failover": {
         "SecondaryRegion": "us-west-2",
         "PrimaryRoute53HealthCheckId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
      }
   },
   "UserPoolId": "ca-central-1_EXAMPLE"
}

Untuk mengaktifkan replika untuk penggunaan produksi, gunakan UpdateUserPoolReplicaoperasi:

{
   "UserPoolId": "us-east-1_EXAMPLE",
   "RegionName": "us-west-2",
   "Status": "ACTIVE"
}

Tanggapan mengonfirmasi status replika yang diperbarui:

{
   "Replica": {
      "RegionName": "us-west-2",
      "UserPoolArn": "arn:aws:cognito-idp:us-west-2:111122223333:userpool/us-east-1_EXAMPLE",
      "Status": "ACTIVE",
      "Role": "SECONDARY"
   }
}

Failover di kumpulan pengguna Multi-wilayah

Failover antara dua Wilayah AWS dapat terjadi untuk login terkelola, login federasi, dan penggunaan API langsung dengan kumpulan pengguna Anda. Login dan federasi terkelola memerlukan domain khusus yang dikonfigurasi dengan kumpulan pengguna utama Anda. Anda tidak dapat mengonfigurasi domain kustom yang berbeda dengan kumpulan pengguna replika.

Failover untuk login terkelola, federasi, dan otorisasi mesin-ke-mesin

Failover tersedia ketika kumpulan pengguna utama Anda memiliki domain khusus. Ketika kedua kumpulan pengguna memiliki domain awalan, Anda dapat menguji operasi secara manual pada replika sekunder dengan mengakses domain awalan sekunder secara langsung. Domain kustom dapat dilayani baik dari replika utama atau tambahan dan Wilayah.

Domain khusus diperlukan karena merupakan titik akhir yang melayani sumber daya OAuth 2.0, seperti titik akhir otorisasi dan token, dan menangani respons IDP dari federasi pihak ketiga, termasuk OIDC, SAMP, dan penyedia sosial.

Untuk mengonfigurasi failover, siapkan pemeriksaan kesehatan di Route 53. Anda bertanggung jawab atas apa yang menentukan keadaan pemeriksaan kesehatan ini. Pemeriksaan kesehatan tidak terkait langsung dengan catatan CNAME DNS Anda untuk domain kustom Anda. Namun, indikator inilah yang menentukan apakah lalu lintas ke domain khusus Anda dirutekan ke kumpulan pengguna utama atau replika Anda.

Catatan DNS untuk domain kustom Anda dapat menggunakan Route 53 atau penyedia DNS pihak ketiga mana pun. Pastikan Anda memiliki catatan CNAME yang valid di penyedia DNS Anda yang menunjuk ke alias target Anda, yang merupakan distribusi. CloudFront Anda dapat menemukan target alias di halaman Domain di konsol Amazon Cognito.

Saat pemeriksaan kesehatan dalam keadaan tidak sehat, Amazon Cognito menyajikan halaman login terkelola dan operasi otentikasi untuk domain kustom dari kumpulan pengguna replika sekunder. Ketika pemeriksaan kesehatan memasuki keadaan sehat, Amazon Cognito mulai merutekan lalu lintas kembali ke replika utama.

Setiap kumpulan pengguna memiliki domain awalan sendiri, seperti ini Region-isolated. Anda masih dapat langsung memanggil titik akhir ini untuk menangani otentikasi. Namun, jika federasi dikonfigurasi dengan pihak ketiga IdPs, maka harus ada dua konfigurasi aplikasi untuk setiap titik akhir awalan. Sebagai praktik terbaik, gunakan domain khusus untuk memastikan Amazon Cognito menangani perutean ke dan dari login terkelola secara otomatis berdasarkan status pemeriksaan kesehatan Route 53.

Untuk memperbarui ID pemeriksaan kesehatan di konsol

  1. Arahkan ke kumpulan pengguna Anda di konsol Amazon Cognito.

  2. Pilih Domain di bawah Branding dari menu.

  3. Di bawah bagian Domain khusus, pilih opsi edit dan pilih Edit failover Multi-wilayah.

  4. Alihkan opsi Aktifkan failover Multi-wilayah.

  5. Pilih ID pemeriksaan kesehatan Route 53 Anda dari pemeriksaan kesehatan yang tersedia.

  6. Pilih Simpan perubahan.

Failover untuk Amazon Cognito API dan SDK

Jika Anda menggunakan Amazon Cognito API atau SDK, tidak ada penggunaan domain khusus dan aplikasi Anda bertanggung jawab untuk merutekan lalu lintas ke titik akhir regional layanan Amazon Cognito untuk menangani autentikasi dan panggilan API lainnya.

Jika Anda hanya memiliki frontend aplikasi menggunakan klien publik, seperti aplikasi satu halaman (SPA) atau aplikasi seluler, aplikasi Anda harus dinamis untuk merutekan panggilan API yang sesuai. Pertimbangkan backend aplikasi tanpa server untuk membantu menentukan otentikasi Wilayah mana dengan Amazon Cognito yang harus dimulai.

Jika Anda memiliki aplikasi dengan backend, logika untuk menentukan kumpulan pengguna mana yang akan diautentikasi dapat ditentukan di sini.

Jika Anda menggunakan endpoint login terkelola dan API, Anda dapat menggunakan pemeriksaan kesehatan Route 53 yang sama untuk menjadi indikator bagi aplikasi Anda guna memutuskan Wilayah mana yang akan ditentang oleh API ke Amazon Cognito.