View a markdown version of this page

사용자 풀에 대한 다중 리전 복제 - Amazon Cognito
다중 리전 복제에 대해 알아야 할 사항다중 리전 복제의 제한 사항다중 리전 복제 구성다중 리전 사용자 풀의 장애 조치

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 풀에 대한 다중 리전 복제

다중 리전 복제(MRR)를 사용하면 추가에 복제본 사용자 풀을 생성 AWS 리전 하여 인증 인프라에 비즈니스 연속성 및 재해 복구 기능을 제공할 수 있습니다. MRR을 사용하면 리전의 리소스에 대한 연결이 끊어지더라도 등록된 사용자가 애플리케이션을 계속 인증하여 애플리케이션을 계속 사용할 수 있습니다.

MRR을 구성하면 Amazon Cognito는 공유 사용자 풀 ID로 별도의 사용자 풀을 생성합니다. 각 복제본 사용자 풀은 공유 사용자 디렉터리에 대한 인증 서비스를 호스팅합니다. 기본 사용자 풀은 암호 재설정 및 사용자 가입과 같은 관리 구성 및 사용자 디렉터리 쓰기 작업을 위한 신뢰할 수 있는 소스 역할을 합니다. 보조 사용자 풀에는 사용자를 생성할 수 없고, 기본 사용자 풀에서 대부분의 설정을 상속할 수 있으며, 장애 조치 상태에서는 사용자 로그인 및 토큰 생성과 같은 인증 작업을 처리할 수 있습니다.

중요

현재 모든 사용자 풀에서 다중 리전 복제를 사용할 수 있는 것은 아닙니다. 다중 리전 복제에는 향상된 기능과 확장성을 갖춘 최신 Amazon Cognito 인프라가 필요합니다. 일부 사용자 풀은 여전히 이전 인프라에 있으며에서 새 인프라 AWS 로 업그레이드되어이 기능을 잠금 해제합니다. Amazon Cognito 콘솔에서 적격 사용자 풀은 다중 리전 복제 구성 옵션을 표시하고 부적격 풀은 예외 메시지를 표시합니다. 자세한 내용은 AWS 보안 블로그의 Amazon Cognito, 차세대 인프라로 고급 기능 잠금 해제를 참조하세요.

다중 리전 복제에 대해 알아야 할 사항

  • 다중 리전 복제에는 별도의 추가 비용이 있으며 사용자 풀이 Essentials 또는 Plus 기능 플랜에 있어야 합니다. Lite 기능 계획을 사용하여 사용자 풀에서 MRR을 활성화할 수 없습니다.

  • 복제를 활성화하기 AWS KMS 전에의 다중 리전 고객 관리형 키로 사용자 풀을 구성해야 합니다. 키는 사용자 풀 복제본 AWS 리전 이 있는 모든에서 사용할 수 있어야 합니다. 자세한 내용은 데이터 암호화 단원을 참조하십시오.

  • 사용자 풀은 리전 간에 일관된 토큰 검증을 보장하기 위해 다중 리전 OIDC 발급자를 사용해야 합니다. 자세한 내용은 OIDC 발급자로서의 Amazon Cognito 사용자 풀 단원을 참조하십시오.

  • 새 보조 사용자 풀은 INACTIVE 상태에서 시작됩니다. 프로덕션용으로 사용자 풀을 활성화하기 전에 리전 설정을 검토하고 구성합니다.

  • 리전 구성은 복제본마다 다를 수 있습니다. 복제본에서 다음 설정을 독립적으로 구성할 수 있습니다. 다른 모든 설정은 기본 사용자 풀에 설정되며 보조 사용자 풀과 자동으로 동기화됩니다.

    • 이메일 구성

    • 위협 방지 알림을 위한 이메일 구성

    • SMS 구성

    • Lambda 트리거

    • Tags

    • 로그 내보내기 구성

    • AWS WAF 웹 ACLs

  • 리전 간 데이터 복제로 인해 짧은 지연이 발생할 수 있습니다. 기본 사용자 풀은 설정 및 사용자 디렉터리 업데이트를 보조에 동기화하며,이 프로세스는 최종적으로 일관됩니다.

다중 리전 복제의 제한 사항

  • 가입 또는 관리자 생성을 통해 보조 사용자 풀에서 새 사용자를 생성할 수 없습니다. 새 페더레이션 사용자는 이전에 기본 사용자 풀에 로그인한 경우에만 장애 조치 상태의 보조 사용자 풀에 로그인할 수 있습니다.

  • 사용자는 보조 사용자 풀에서 암호를 재설정하거나 프로필을 수정할 수 없습니다. 장애 조치 상태에서는 사용자 인터페이스에서 이러한 작업을 비활성화하고 상태 확인이 기본 사용자 풀에 대한 액세스를 복원한 후 사용할 수 있도록 합니다.

  • 사용자 디렉터리당 추가 리전에 최대 1개의 보조 복제본을 보유할 수 있습니다. 모든 사용자 풀에는 보조 복제본이 있을 수 있습니다.

  • TOTP MFA는 보조 복제본에서 지원되지 않습니다. TOTP MFA가 구성된 사용자는 기본 리전의 사용자 풀이 요청을 처리할 때 인증해야 합니다.

  • 잠금 전 암호 기반 인증 시도 횟수는 리전 간에 동기화되지 않습니다. 각 복제본은 실패한 인증 시도 횟수를 자체적으로 유지합니다.

  • 사용자 지정 도메인이 있는 다중 리전 사용자 풀의 자동 장애 조치만 구성할 수 있습니다.

다중 리전 복제 구성

다중 리전 복제를 활성화하려면 먼저 사용자 풀이 필수 또는 Plus 기능 계획, 다중 리전 고객 관리형 KMS 키 및 다중 리전 OIDC 발급자 구성의 사전 조건을 충족하는지 확인합니다.

AWS Management Console
사용자 풀에 대한 다중 리전 복제를 구성하려면

  1. Amazon Cognito 콘솔에 로그인합니다.

  2. [사용자 풀(User pools)]을 선택합니다.

  3. 목록에서 기존 사용자 풀을 선택하거나 새 사용자 풀을 생성합니다.

  4. 설정 탭을 선택합니다.

  5. 왼쪽 탐색 메뉴에서 다중 리전 복제를 선택합니다.

  6. 복제본 사용자 풀 생성을 선택합니다.

  7. 리전에서 복제본 사용자 풀을 생성할 AWS 리전 을 선택합니다.

  8. 구성 요약을 검토하고 복제본 생성을 선택합니다.

  9. 복제본을 생성한 후 비교 테이블에서 리전 구성 설정을 검토합니다. 복제본 리전에 필요한 경우 이메일 구성, SMS 설정 또는 Lambda 트리거와 같은 리전별 설정을 구성합니다.

  10. 도메인에 대해 Route 53 상태 확인을 구성하려면 도메인 서비스 메뉴로 이동하여 사용자 지정 도메인을 편집 또는 추가하고 Route 53 상태 확인 ID를 구성합니다.

  11. 프로덕션 트래픽에 복제본을 사용할 준비가 되면 복제본 상태를 비활성에서 활성으로 변경합니다.

API

복제본 사용자 풀을 생성하려면 CreateUserPoolReplica 작업을 사용합니다. 다음 예시에서는 us-west-2 리전에서의 기본 사용자 풀에 대한 복제본을 생성합니다us-east-1.

{
   "UserPoolId": "us-east-1_EXAMPLE",
   "RegionName": "us-west-2",
   "UserPoolTags": {
      "Environment": "Production",
      "Application": "MyApp"
   }
}

응답에는 복제본 정보가 포함됩니다.

{
   "Replica": {
      "RegionName": "us-west-2",
      "UserPoolArn": "arn:aws:cognito-idp:us-west-2:111122223333:userpool/us-east-1_EXAMPLE",
      "Status": "PENDING_CREATE",
      "Role": "SECONDARY"
   }
}

또한 장애 조치를 위해 도메인을 구성해야 합니다. Route 53에서 상태 확인을 설정하고 UpdateUserPoolDomain 요청의 도메인에 적용합니다.

{
   "CustomDomainConfig": { 
      "CertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
   },
   "Domain": "auth.example.com",
   "ManagedLoginVersion": 2,
   "Routing": {
      "Failover": {
         "SecondaryRegion": "us-west-2",
         "PrimaryRoute53HealthCheckId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
      }
   },
   "UserPoolId": "ca-central-1_EXAMPLE"
}

프로덕션용으로 복제본을 활성화하려면 UpdateUserPoolReplica 작업을 사용합니다.

{
   "UserPoolId": "us-east-1_EXAMPLE",
   "RegionName": "us-west-2",
   "Status": "ACTIVE"
}

응답은 업데이트된 복제본 상태를 확인합니다.

{
   "Replica": {
      "RegionName": "us-west-2",
      "UserPoolArn": "arn:aws:cognito-idp:us-west-2:111122223333:userpool/us-east-1_EXAMPLE",
      "Status": "ACTIVE",
      "Role": "SECONDARY"
   }
}

다중 리전 사용자 풀의 장애 조치

사용자 풀에서 관리형 로그인, 페더레이션 로그인 및 직접 API 사용에 대해 둘 사이의 장애 조치가 발생할 AWS 리전 수 있습니다. 관리형 로그인 및 페더레이션에는 기본 사용자 풀로 구성된 사용자 지정 도메인이 필요합니다. 복제본 사용자 풀을 사용하여 다른 사용자 지정 도메인을 구성할 수 없습니다.

관리형 로그인, 페더레이션 및 machine-to-machine 권한 부여를 위한 장애 조치

기본 사용자 풀에 사용자 지정 도메인이 있는 경우 장애 조치를 사용할 수 있습니다. 두 사용자 풀에 접두사 도메인이 있는 경우 보조 접두사 도메인에 직접 액세스하여 보조 복제본에 대한 작업을 수동으로 테스트할 수 있습니다. 기본 또는 추가 복제본 및 리전에서 사용자 지정 도메인을 제공할 수 있습니다.

사용자 지정 도메인은 권한 부여토큰 엔드포인트와 같은 OAuth 2.0 리소스를 제공하고 OIDC, SAML 및 소셜 공급자를 포함한 타사 페더레이션의 IdP 응답을 처리하는 엔드포인트이기 때문에 필요합니다.

장애 조치를 구성하려면 Route 53에서 상태 확인을 설정합니다. 이 상태 확인의 상태를 결정하는 것은 사용자의 책임입니다. 상태 확인은 사용자 지정 도메인의 DNS CNAME 레코드와 직접 연결되지 않습니다. 그러나 사용자 지정 도메인에 대한 트래픽이 기본 또는 복제본 사용자 풀로 라우팅되는지 여부를 결정하는 지표입니다.

사용자 지정 도메인의 DNS 레코드는 Route 53 또는 타사 DNS 공급자를 사용할 수 있습니다. DNS 공급자에 대상 별칭, 즉 CloudFront 배포를 가리키는 유효한 CNAME 레코드가 있는지 확인합니다. Amazon Cognito 콘솔의 도메인 페이지에서 별칭 대상을 찾을 수 있습니다.

상태 확인이 비정상 상태인 경우 Amazon Cognito는 보조 복제본 사용자 풀에서 사용자 지정 도메인에 대한 관리형 로그인 페이지 및 인증 작업을 제공합니다. 상태 확인이 정상 상태가 되면 Amazon Cognito는 트래픽을 기본 복제본으로 다시 라우팅하기 시작합니다.

각 사용자 풀에는 리전 격리된 고유한 접두사 도메인이 있습니다. 이러한 엔드포인트를 직접 호출하여 인증을 처리할 수 있습니다. 그러나 페더레이션이 타사 IdPs로 구성된 경우 각 접두사 엔드포인트에 대해 두 개의 애플리케이션 구성이 있어야 합니다. 가장 좋은 방법은 사용자 지정 도메인을 사용하여 Amazon Cognito가 Route 53 상태 확인 상태에 따라 관리형 로그인과의 라우팅을 자동으로 처리하도록 하는 것입니다.

콘솔에서 상태 확인 ID를 업데이트하려면

  1. Amazon Cognito 콘솔에서 사용자 풀로 이동합니다.

  2. 메뉴에서 브랜딩에서 도메인을 선택합니다.

  3. 사용자 지정 도메인 섹션에서 편집 옵션을 선택하고 다중 리전 장애 조치 편집을 선택합니다.

  4. 다중 리전 장애 조치 활성화 옵션을 전환합니다.

  5. 사용 가능한 상태 확인에서 Route 53 상태 확인 ID를 선택합니다.

  6. 변경 사항 저장을 선택합니다.

Amazon Cognito APIs 및 SDKs에 대한 장애 조치

Amazon Cognito APIs 또는 SDKs를 사용하는 경우 사용자 지정 도메인은 사용되지 않으며 애플리케이션은 인증 및 기타 API 호출을 처리하기 위해 Amazon Cognito 서비스 리전 엔드포인트로 트래픽을 라우팅할 책임이 있습니다.

단일 페이지 애플리케이션(SPA) 또는 모바일 앱과 같은 퍼블릭 클라이언트를 사용하는 애플리케이션 프런트엔드만 있는 경우 그에 따라 API 호출을 라우팅하려면 애플리케이션이 동적이어야 합니다. Amazon Cognito를 사용한 리전 인증을 결정하는 데 도움이 되는 서버리스 애플리케이션 백엔드를 고려해 보세요.

백엔드가 있는 애플리케이션이 있는 경우 인증할 사용자 풀을 결정하는 로직은 여기에서 확인할 수 있습니다.

관리형 로그인 엔드포인트와 APIs 모두 사용하는 경우 동일한 Route 53 상태 확인을 애플리케이션에 대한 지표로 사용하여 Amazon Cognito에 대한 API 호출이 수행되어야 하는 리전을 결정할 수 있습니다.