Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Multi-Region replikasi untuk kumpulan pengguna
<a name="user-pool-multi-region"></a>

Dengan Multi-region replication (MRR), Anda dapat membuat kumpulan pengguna replika sebagai tambahan Wilayah AWS untuk memberikan kelangsungan bisnis dan kemampuan pemulihan bencana untuk infrastruktur otentikasi Anda. Dengan MRR, pengguna terdaftar dapat terus mengautentikasi dengan aplikasi Anda bahkan ketika Anda kehilangan konektivitas ke sumber daya di Wilayah, memastikan aplikasi Anda tetap tersedia.

Saat Anda mengonfigurasi MRR, Amazon Cognito membuat kumpulan pengguna terpisah dengan ID kumpulan pengguna bersama. Setiap kumpulan pengguna replika menghosting layanan otentikasi untuk direktori pengguna bersama. Kumpulan pengguna utama berfungsi sebagai sumber otoritatif untuk konfigurasi administratif dan operasi penulisan direktori pengguna seperti pengaturan ulang kata sandi dan pendaftaran pengguna. Kumpulan pengguna sekunder tidak dapat membuat pengguna, mewarisi sebagian besar pengaturan dari kumpulan pengguna utama, dan dalam status failover dapat menangani operasi otentikasi seperti login pengguna dan pembuatan token.

**penting**  
Multi-Region replikasi tidak tersedia untuk semua kumpulan pengguna saat ini. Multi-Region replikasi membutuhkan infrastruktur Amazon Cognito modern dengan kemampuan dan skalabilitas yang ditingkatkan. Beberapa kumpulan pengguna masih berada di infrastruktur sebelumnya dan akan ditingkatkan AWS ke infrastruktur baru, yang akan membuka kunci fitur ini. Di konsol Amazon Cognito, kumpulan pengguna yang memenuhi syarat menampilkan opsi konfigurasi replikasi Multi-wilayah, dan kumpulan yang tidak memenuhi syarat menampilkan pesan pengecualian. Untuk informasi selengkapnya, lihat [Amazon Cognito membuka kunci kemampuan lanjutan dengan infrastruktur generasi berikutnya](https://aws.amazon.com/blogs/security/amazon-cognito-unlocks-advanced-capabilities-with-next-generation-infrastructure/) di Blog Keamanan. AWS 

## Hal-hal yang perlu diketahui tentang replikasi Multi-wilayah
<a name="user-pool-multi-region-things-to-know"></a>
+ Multi-Region [replikasi memiliki biaya tambahan terpisah dan mengharuskan kumpulan pengguna Anda berada di paket fitur Essentials atau Plus.](cognito-sign-in-feature-plans.md) Anda tidak dapat mengaktifkan MRR di kumpulan pengguna dengan paket fitur Lite.
+ Anda harus mengonfigurasi kumpulan pengguna Anda dengan [kunci terkelola pelanggan Multi-wilayah](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) AWS KMS sebelum mengaktifkan replikasi. Kunci harus tersedia di semua Wilayah AWS yang memiliki replika kumpulan pengguna. Untuk informasi selengkapnya, lihat [Enkripsi data](data-protection.md#data-encryption).
+ Kumpulan pengguna Anda harus menggunakan penerbit OIDC Multi-wilayah untuk memastikan validasi token yang konsisten di seluruh wilayah. Untuk informasi selengkapnya, lihat [Kumpulan pengguna Amazon Cognito sebagai penerbit OIDC](federation-endpoints.md#user-pool-oidc-issuer).
+ Kumpulan pengguna sekunder baru dimulai di `INACTIVE` negara bagian. Tinjau dan konfigurasikan pengaturan regional sebelum mengaktifkan kumpulan pengguna untuk penggunaan produksi.
+ Konfigurasi regional dapat berbeda antara replika. Anda dapat mengonfigurasi pengaturan berikut secara independen dalam replika. Semua pengaturan lain diatur dalam kumpulan pengguna utama dan secara otomatis disinkronkan ke sekunder.
  + Konfigurasi email
  + Konfigurasi email untuk pemberitahuan perlindungan ancaman
  + Konfigurasi SMS
  + Pemicu Lambda
  + Tag
  + Konfigurasi ekspor log
  + AWS WAF ACL web
+ Replikasi data antar wilayah dapat menyebabkan penundaan singkat. Kumpulan pengguna utama menyinkronkan pengaturan dan pembaruan direktori pengguna ke sekunder, dan proses ini pada akhirnya konsisten.

## Keterbatasan replikasi Multi-wilayah
<a name="user-pool-multi-region-limitations"></a>
+ Anda tidak dapat menghasilkan pengguna baru di kumpulan pengguna sekunder, baik dengan mendaftar atau dengan pembuatan administrator. Pengguna federasi baru hanya dapat masuk ke kumpulan pengguna sekunder dalam status failover jika mereka sebelumnya telah masuk ke kumpulan pengguna utama.
+ Pengguna tidak dapat mengatur ulang kata sandi mereka atau memodifikasi profil mereka di kumpulan pengguna sekunder. Dalam status failover, nonaktifkan operasi ini di antarmuka pengguna dan sediakan setelah pemeriksaan kesehatan Anda mengembalikan akses ke kumpulan pengguna utama.
+ Anda dapat memiliki paling banyak satu replika sekunder di Wilayah tambahan per direktori pengguna. Setiap kumpulan pengguna dapat memiliki replika sekunder.
+ TOTP MFA tidak didukung dalam replika sekunder. Pengguna dengan TOTP MFA yang dikonfigurasi harus mengautentikasi saat kumpulan pengguna di Wilayah utama melayani permintaan.
+ Jumlah upaya otentikasi berbasis kata sandi sebelum penguncian tidak disinkronkan di seluruh Wilayah. Setiap replika mempertahankan hitungan sendiri dari upaya otentikasi yang gagal.
+ Anda hanya dapat mengonfigurasi failover otomatis kumpulan pengguna Multi-wilayah dengan domain [khusus](cognito-user-pools-add-custom-domain.md).

## Mengkonfigurasi replikasi Multi-wilayah
<a name="user-pool-multi-region-configure"></a>

Sebelum Anda dapat mengaktifkan replikasi Multi-wilayah, pastikan kumpulan pengguna Anda memenuhi prasyarat: Paket fitur Essentials atau Plus, kunci KMS yang dikelola pelanggan multi-wilayah, dan konfigurasi penerbit OIDC Multi-wilayah.

------
#### [ Konsol Manajemen AWS ]

**Untuk mengonfigurasi replikasi Multi-region untuk kumpulan pengguna**

1. Masuk ke [konsol Amazon Cognito](https://console.aws.amazon.com/cognito/home).

1. Pilih **kumpulan Pengguna**.

1. Pilih kumpulan pengguna yang ada dari daftar, atau [buat kumpulan pengguna baru](getting-started-user-pools.md).

1. Pilih tab **Pengaturan**.

1. Di menu navigasi kiri, pilih **Multi-Regionreplikasi.**

1. Pilih **Buat kumpulan pengguna replika**.

1. Untuk **Wilayah**, pilih Wilayah AWS tempat Anda ingin membuat kumpulan pengguna replika.

1. Tinjau ringkasan konfigurasi dan pilih **Buat replika**.

1. Setelah replika dibuat, tinjau pengaturan konfigurasi regional di tabel perbandingan. Konfigurasikan pengaturan khusus wilayah seperti konfigurasi email, pengaturan SMS, atau pemicu Lambda sesuai kebutuhan untuk wilayah replika Anda.

1. Untuk mengonfigurasi pemeriksaan kesehatan Route 53 untuk domain Anda, navigasikan ke menu **Layanan Domain**, edit atau tambahkan domain khusus, dan konfigurasikan **ID pemeriksaan kesehatan Route 53**.

1. **Saat Anda siap menggunakan replika untuk lalu lintas produksi, ubah status replika dari **Tidak Aktif menjadi Aktif**.**

------
#### [ API ]

Untuk membuat kumpulan pengguna replika, gunakan [CreateUserPoolReplica](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolReplica.html)operasi. Contoh berikut membuat replika di `us-west-2` wilayah untuk kumpulan pengguna utama di`us-east-1`.

```
{
   "UserPoolId": "{{us-east-1_EXAMPLE}}",
   "RegionName": "{{us-west-2}}",
   "UserPoolTags": {
      "Environment": "{{Production}}",
      "Application": "{{MyApp}}"
   }
}
```

Tanggapan tersebut mencakup informasi replika:

```
{
   "Replica": {
      "RegionName": "{{us-west-2}}",
      "UserPoolArn": "arn:aws:cognito-idp:{{us-west-2}}:{{111122223333}}:userpool/{{us-east-1_EXAMPLE}}",
      "Status": "PENDING_CREATE",
      "Role": "SECONDARY"
   }
}
```

Anda juga harus mengonfigurasi domain Anda untuk failover. Siapkan pemeriksaan kesehatan di Route 53 dan terapkan ke domain Anda dalam [UpdateUserPoolDomain](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolDomain.html)permintaan:

```
{
   "CustomDomainConfig": { 
      "CertificateArn": "arn:aws:acm:us-east-1:{{111122223333}}:certificate/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
   },
   "Domain": "{{auth.example.com}}",
   "ManagedLoginVersion": {{2}},
   "Routing": {
      "Failover": {
         "SecondaryRegion": "{{us-west-2}}",
         "PrimaryRoute53HealthCheckId": "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
      }
   },
   "UserPoolId": "ca-central-1_EXAMPLE"
}
```

Untuk mengaktifkan replika untuk penggunaan produksi, gunakan [UpdateUserPoolReplica](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolReplica.html)operasi:

```
{
   "UserPoolId": "{{us-east-1_EXAMPLE}}",
   "RegionName": "{{us-west-2}}",
   "Status": "ACTIVE"
}
```

Tanggapan mengonfirmasi status replika yang diperbarui:

```
{
   "Replica": {
      "RegionName": "{{us-west-2}}",
      "UserPoolArn": "arn:aws:cognito-idp:{{us-west-2}}:{{111122223333}}:userpool/{{us-east-1_EXAMPLE}}",
      "Status": "ACTIVE",
      "Role": "SECONDARY"
   }
}
```

------

## Failover di kumpulan pengguna Multi-wilayah
<a name="user-pool-multi-region-failover"></a>

Failover antara dua Wilayah AWS dapat terjadi untuk login terkelola, login federasi, dan penggunaan API langsung dengan kumpulan pengguna Anda. Login dan federasi terkelola memerlukan domain khusus yang dikonfigurasi dengan kumpulan pengguna utama Anda. Anda tidak dapat mengonfigurasi domain kustom yang berbeda dengan kumpulan pengguna replika.

### Failover untuk login terkelola, federasi, dan otorisasi mesin-ke-mesin
<a name="user-pool-multi-region-failover-managed-login"></a>

Failover tersedia ketika kumpulan pengguna utama Anda memiliki [domain khusus](cognito-user-pools-add-custom-domain.md). Ketika kedua kumpulan pengguna memiliki [domain awalan](cognito-user-pools-assign-domain-prefix.md), Anda dapat menguji operasi secara manual pada replika sekunder dengan mengakses domain awalan sekunder secara langsung. Domain kustom dapat dilayani baik dari replika utama atau tambahan dan Wilayah.

Domain khusus diperlukan karena merupakan titik akhir yang melayani sumber daya OAuth 2.0, seperti titik akhir [otorisasi](authorization-endpoint.md) dan [token](token-endpoint.md), dan menangani respons IDP dari federasi pihak ketiga, termasuk OIDC, SAMP, dan penyedia sosial.

Untuk mengonfigurasi failover, siapkan [pemeriksaan kesehatan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html) di Route 53. Anda bertanggung jawab atas apa yang menentukan keadaan pemeriksaan kesehatan ini. Pemeriksaan kesehatan tidak terkait langsung dengan catatan CNAME DNS Anda untuk domain kustom Anda. Namun, indikator inilah yang menentukan apakah lalu lintas ke domain khusus Anda dirutekan ke kumpulan pengguna utama atau replika Anda.

Catatan DNS untuk domain kustom Anda dapat menggunakan Route 53 atau penyedia DNS pihak ketiga mana pun. Pastikan Anda memiliki catatan CNAME yang valid di penyedia DNS Anda yang menunjuk ke alias target Anda, yang merupakan distribusi. CloudFront Anda dapat menemukan target alias di halaman **Domain** di konsol Amazon Cognito.

Saat pemeriksaan kesehatan dalam keadaan tidak sehat, Amazon Cognito menyajikan halaman login terkelola dan operasi otentikasi untuk domain kustom dari kumpulan pengguna replika sekunder. Ketika pemeriksaan kesehatan memasuki keadaan sehat, Amazon Cognito mulai merutekan lalu lintas kembali ke replika utama.

Setiap kumpulan pengguna memiliki domain awalan sendiri, seperti ini Region-isolated. Anda masih dapat langsung memanggil titik akhir ini untuk menangani otentikasi. Namun, jika federasi dikonfigurasi dengan pihak ketiga IdPs, maka harus ada dua konfigurasi aplikasi untuk setiap titik akhir awalan. Sebagai praktik terbaik, gunakan domain khusus untuk memastikan Amazon Cognito menangani perutean ke dan dari login terkelola secara otomatis berdasarkan status pemeriksaan kesehatan Route 53.

**Untuk memperbarui ID pemeriksaan kesehatan di konsol**

1. Arahkan ke kumpulan pengguna Anda di konsol Amazon Cognito.

1. Pilih **Domain** di bawah **Branding** dari menu.

1. Di bawah bagian **Domain khusus**, pilih opsi edit dan pilih **Edit failover Multi-wilayah**.

1. Alihkan opsi **Aktifkan failover Multi-wilayah**.

1. Pilih ID pemeriksaan kesehatan Route 53 Anda dari pemeriksaan kesehatan yang tersedia.

1. Pilih **Simpan perubahan**.

### Failover untuk Amazon Cognito API dan SDK
<a name="user-pool-multi-region-failover-api"></a>

Jika Anda menggunakan Amazon Cognito API atau SDK, tidak ada penggunaan domain khusus dan aplikasi Anda bertanggung jawab untuk merutekan lalu lintas ke titik akhir regional layanan Amazon Cognito untuk menangani autentikasi dan panggilan API lainnya.

Jika Anda hanya memiliki frontend aplikasi menggunakan klien publik, seperti aplikasi satu halaman (SPA) atau aplikasi seluler, aplikasi Anda harus dinamis untuk merutekan panggilan API yang sesuai. Pertimbangkan backend aplikasi tanpa server untuk membantu menentukan otentikasi Wilayah mana dengan Amazon Cognito yang harus dimulai.

Jika Anda memiliki aplikasi dengan backend, logika untuk menentukan kumpulan pengguna mana yang akan diautentikasi dapat ditentukan di sini.

Jika Anda menggunakan endpoint login terkelola dan API, Anda dapat menggunakan pemeriksaan kesehatan Route 53 yang sama untuk menjadi indikator bagi aplikasi Anda guna memutuskan Wilayah mana yang akan ditentang oleh API ke Amazon Cognito.