View a markdown version of this page

Multi-Region Replikation für Benutzerpools - Amazon Cognito
Wissenswertes über Replikation in mehreren RegionenEinschränkungen der Replikation in mehreren RegionenKonfiguration der Replikation in mehreren RegionenFailover in Benutzerpools mit mehreren Regionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Multi-Region Replikation für Benutzerpools

Mit Multi-Region-Replication (MRR) können Sie zusätzlich einen Replikat-Benutzerpool erstellen, AWS-Region um Geschäftskontinuität und Disaster Recovery-Funktionen für Ihre Authentifizierungsinfrastruktur zu gewährleisten. Mit MRR können sich registrierte Benutzer auch dann weiterhin bei Ihren Anwendungen authentifizieren, wenn Sie die Konnektivität zu Ressourcen in einer Region verlieren, sodass Ihre Anwendungen weiterhin verfügbar bleiben.

Wenn Sie MRR konfigurieren, erstellt Amazon Cognito separate Benutzerpools mit einer gemeinsamen Benutzerpool-ID. Jeder Replikat-Benutzerpool hostet Authentifizierungsdienste für ein gemeinsam genutztes Benutzerverzeichnis. Der primäre Benutzerpool dient als autoritative Quelle für die administrative Konfiguration und Schreibvorgänge in Benutzerverzeichnissen wie das Zurücksetzen von Kennwörtern und die Benutzerregistrierung. Sekundäre Benutzerpools können keine Benutzer erstellen, erben die meisten Einstellungen vom primären Benutzerpool und können in einem Failover-Zustand Authentifizierungsvorgänge wie Benutzeranmeldung und Token-Generierung durchführen.

Wichtig

Multi-Region Die Replikation ist derzeit nicht für alle Benutzerpools verfügbar. Multi-Region Die Replikation erfordert die moderne Amazon Cognito Cognito-Infrastruktur mit erweiterten Funktionen und Skalierbarkeit. Einige Benutzerpools befinden sich noch in einer früheren Infrastruktur und werden AWS auf die neue Infrastruktur aktualisiert, wodurch diese Funktion freigeschaltet wird. In der Amazon Cognito Cognito-Konsole zeigen berechtigte Benutzerpools Konfigurationsoptionen für die Replikation mehrerer Regionen an, und nicht berechtigte Pools zeigen Ausnahmemeldungen an. Weitere Informationen finden Sie im Sicherheitsblog unter Amazon Cognito erschließt erweiterte Funktionen mit Infrastruktur der AWS nächsten Generation.

Wissenswertes über Replikation in mehreren Regionen

  • Multi-Region Für die Replikation fallen separate Zusatzkosten an. Außerdem muss Ihr Benutzerpool über den Feature-Plan Essentials oder Plus verfügen. Sie können MRR nicht für Benutzerpools mit dem Lite-Funktionsplan aktivieren.

  • Sie müssen Ihren Benutzerpool mit einem vom Kunden verwalteten Schlüssel für mehrere Regionen konfigurieren, AWS KMS bevor Sie die Replikation aktivieren. Der Schlüssel muss in allen Benutzern verfügbar sein AWS-Regionen , die über Benutzerpool-Replikate verfügen. Weitere Informationen finden Sie unter Datenverschlüsselung.

  • Ihr Benutzerpool muss einen OIDC-Emittenten für mehrere Regionen verwenden, um eine konsistente Token-Validierung in allen Regionen sicherzustellen. Weitere Informationen finden Sie unter Amazon Cognito Cognito-Benutzerpools als OIDC-Emittent.

  • Neue sekundäre Benutzerpools beginnen im Bundesstaat. INACTIVE Überprüfen und konfigurieren Sie die regionalen Einstellungen, bevor Sie den Benutzerpool für die Produktionsnutzung aktivieren.

  • Die regionalen Konfigurationen können sich zwischen den Replikaten unterscheiden. Sie können die folgenden Einstellungen in Replikaten unabhängig voneinander konfigurieren. Alle anderen Einstellungen werden im primären Benutzerpool festgelegt und automatisch mit dem sekundären Benutzerpool synchronisiert.

    • E-Mail-Konfiguration

    • E-Mail-Konfiguration für Benachrichtigungen zum Schutz vor Bedrohungen

    • SMS-Konfiguration

    • Lambda-Trigger

    • Tags (Markierungen)

    • Konfiguration für den Protokollexport

    • AWS WAF Web-ACLs

  • Bei der Datenreplikation zwischen Regionen kann es zu kurzen Verzögerungen kommen. Der primäre Benutzerpool synchronisiert Einstellungen und Benutzerverzeichnisaktualisierungen mit dem sekundären Benutzerpool, und dieser Prozess ist letztendlich konsistent.

Einschränkungen der Replikation in mehreren Regionen

  • Sie können keine neuen Benutzer in sekundären Benutzerpools generieren, weder durch Registrierung noch durch Erstellung durch einen Administrator. Neue Verbundbenutzer können sich im Failover-Status nur dann bei einem sekundären Benutzerpool anmelden, wenn sie sich zuvor beim primären Benutzerpool angemeldet haben.

  • Benutzer können ihre Passwörter nicht zurücksetzen oder ihre Profile in sekundären Benutzerpools ändern. Deaktivieren Sie in einem Failover-Zustand diese Operationen auf der Benutzeroberfläche und stellen Sie sie zur Verfügung, nachdem Ihre Integritätsprüfung den Zugriff auf den primären Benutzerpool wiederhergestellt hat.

  • Pro Benutzerverzeichnis können Sie höchstens ein sekundäres Replikat in einer zusätzlichen Region haben. Jeder Benutzerpool kann über ein sekundäres Replikat verfügen.

  • TOTP MFA wird in sekundären Replikaten nicht unterstützt. Benutzer mit konfiguriertem TOTP-MFA müssen sich authentifizieren, wenn der Benutzerpool in der primären Region Anfragen bearbeitet.

  • Die Anzahl der kennwortbasierten Authentifizierungsversuche vor der Sperrung wird nicht regionsübergreifend synchronisiert. Jedes Replikat behält seine eigene Anzahl fehlgeschlagener Authentifizierungsversuche bei.

  • Sie können das automatische Failover von Benutzerpools mit mehreren Regionen nur mit einer benutzerdefinierten Domäne konfigurieren.

Konfiguration der Replikation in mehreren Regionen

Bevor Sie die Replikation in mehreren Regionen aktivieren können, stellen Sie sicher, dass Ihr Benutzerpool die folgenden Voraussetzungen erfüllt: Essentials- oder Plus-Funktionsplan, vom Kunden verwalteter KMS-Schlüssel für mehrere Regionen und OIDC-Ausstellerkonfiguration für mehrere Regionen.

AWS-Managementkonsole
So konfigurieren Sie die Replikation mit mehreren Regionen für einen Benutzerpool

  1. Melden Sie sich bei der Amazon Cognito-Konsole an.

  2. Klicken Sie auf User pools (Benutzerpools).

  3. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus, oder erstellen Sie einen neuen Benutzerpool.

  4. Wählen Sie die Registerkarte Einstellungen.

  5. Wählen Sie im linken Navigationsmenü Multi-RegionReplikation aus.

  6. Wählen Sie Einen Replikat-Benutzerpool erstellen aus.

  7. Wählen Sie unter Region die Region aus, AWS-Region in der Sie den Replikatbenutzerpool erstellen möchten.

  8. Sehen Sie sich die Zusammenfassung der Konfiguration an und wählen Sie Create Replica aus.

  9. Nachdem das Replikat erstellt wurde, überprüfen Sie die regionalen Konfigurationseinstellungen in der Vergleichstabelle. Konfigurieren Sie alle regionsspezifischen Einstellungen wie E-Mail-Konfiguration, SMS-Einstellungen oder Lambda-Trigger nach Bedarf für Ihre Replikatregion.

  10. Um eine Route 53-Zustandsprüfung für Ihre Domain zu konfigurieren, navigieren Sie zum Menü Domain-Services, bearbeiten oder fügen Sie eine benutzerdefinierte Domain hinzu und konfigurieren Sie eine Route 53-Zustandsprüfungs-ID.

  11. Wenn Sie bereit sind, das Replikat für den Produktionsdatenverkehr zu verwenden, ändern Sie den Replikatstatus von Inaktiv in Aktiv.

API

Verwenden Sie den Vorgang, um einen Replikatbenutzerpool zu erstellen. CreateUserPoolReplica Im folgenden Beispiel wird ein Replikat in der us-west-2 Region für einen primären Benutzerpool in erstellt. us-east-1

{
   "UserPoolId": "us-east-1_EXAMPLE",
   "RegionName": "us-west-2",
   "UserPoolTags": {
      "Environment": "Production",
      "Application": "MyApp"
   }
}

Die Antwort enthält die Replikatinformationen:

{
   "Replica": {
      "RegionName": "us-west-2",
      "UserPoolArn": "arn:aws:cognito-idp:us-west-2:111122223333:userpool/us-east-1_EXAMPLE",
      "Status": "PENDING_CREATE",
      "Role": "SECONDARY"
   }
}

Sie müssen Ihre Domain auch für Failover konfigurieren. Richten Sie in Route 53 einen Gesundheitscheck ein und wenden Sie ihn in einer UpdateUserPoolDomainAnfrage auf Ihre Domain an:

{
   "CustomDomainConfig": { 
      "CertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
   },
   "Domain": "auth.example.com",
   "ManagedLoginVersion": 2,
   "Routing": {
      "Failover": {
         "SecondaryRegion": "us-west-2",
         "PrimaryRoute53HealthCheckId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
      }
   },
   "UserPoolId": "ca-central-1_EXAMPLE"
}

Gehen Sie wie folgt vor, um das Replikat für den Produktionsgebrauch zu aktivieren UpdateUserPoolReplica:

{
   "UserPoolId": "us-east-1_EXAMPLE",
   "RegionName": "us-west-2",
   "Status": "ACTIVE"
}

Die Antwort bestätigt den aktualisierten Replikatstatus:

{
   "Replica": {
      "RegionName": "us-west-2",
      "UserPoolArn": "arn:aws:cognito-idp:us-west-2:111122223333:userpool/us-east-1_EXAMPLE",
      "Status": "ACTIVE",
      "Role": "SECONDARY"
   }
}

Failover in Benutzerpools mit mehreren Regionen

Ein Failover zwischen zwei AWS-Regionen kann bei verwalteter Anmeldung, Verbundanmeldung und direkter API-Nutzung mit Ihrem Benutzerpool erfolgen. Für die verwaltete Anmeldung und den Verbund ist eine benutzerdefinierte Domain erforderlich, die mit Ihrem primären Benutzerpool konfiguriert ist. Sie können keine andere benutzerdefinierte Domäne mit Replikat-Benutzerpools konfigurieren.

Failover für verwaltete Anmeldung, Verbund und Machine-to-Machine-Autorisierung

Failover ist verfügbar, wenn Ihr primärer Benutzerpool über eine benutzerdefinierte Domäne verfügt. Wenn beide Benutzerpools über eine Präfixdomäne verfügen, können Sie Operationen auf dem sekundären Replikat manuell testen, indem Sie direkt auf die sekundäre Präfixdomäne zugreifen. Benutzerdefinierte Domänen können entweder vom primären oder vom zusätzlichen Replikat und der Region aus bedient werden.

Eine benutzerdefinierte Domain ist erforderlich, da es sich um den Endpunkt handelt, der die OAuth 2.0-Ressourcen wie die Autorisierungs - und Token-Endpunkte bereitstellt und die IdP-Antwort von Drittanbieterverbänden, einschließlich OIDC, SAML und sozialen Anbietern, verarbeitet.

Um den Failover zu konfigurieren, richten Sie eine Integritätsprüfung in Route 53 ein. Sie sind dafür verantwortlich, was den Status dieser Integritätsprüfung bestimmt. Die Zustandsprüfung ist nicht direkt mit Ihrem DNS-CNAME-Eintrag für Ihre benutzerdefinierte Domain verknüpft. Es ist jedoch der Indikator, der bestimmt, ob der Datenverkehr zu Ihrer benutzerdefinierten Domain an Ihren primären Benutzerpool oder an Ihren Replikatbenutzerpool weitergeleitet wird.

Der DNS-Eintrag für Ihre benutzerdefinierte Domain kann Route 53 oder einen beliebigen DNS-Drittanbieter verwenden. Stellen Sie sicher, dass Ihr DNS-Anbieter über einen gültigen CNAME-Eintrag verfügt, der auf Ihren Zielalias verweist, bei dem es sich um eine CloudFront Distribution handelt. Sie finden das Alias-Ziel auf der Domain-Seite in der Amazon Cognito Cognito-Konsole.

Wenn sich die Zustandsprüfung in einem fehlerhaften Zustand befindet, stellt Amazon Cognito verwaltete Anmeldeseiten und Authentifizierungsvorgänge für die benutzerdefinierte Domain aus dem Benutzerpool der sekundären Replikate bereit. Wenn die Zustandsprüfung in einen fehlerfreien Zustand übergeht, leitet Amazon Cognito den Datenverkehr zurück zum primären Replikat weiter.

Jeder Benutzerpool hat seine eigene Präfixdomäne, wie es sich bei diesen handelt. Region-isolated Sie können diese Endpunkte immer noch direkt aufrufen, um die Authentifizierung abzuwickeln. Wenn der Verbund jedoch mit einem Drittanbieter konfiguriert ist IdPs, müssen für jeden Präfixendpunkt zwei Anwendungskonfigurationen vorhanden sein. Es hat sich bewährt, eine benutzerdefinierte Domain zu verwenden, um sicherzustellen, dass Amazon Cognito das Routing zu und von der verwalteten Anmeldung basierend auf dem Status der Route 53-Zustandsprüfung automatisch abwickelt.

Um die Health Check-ID in der Konsole zu aktualisieren

  1. Navigieren Sie in der Amazon Cognito Cognito-Konsole zu Ihrem Benutzerpool.

  2. Wählen Sie im Menü unter Branding die Option Domain aus.

  3. Wählen Sie im Abschnitt Benutzerdefinierte Domain die Option Bearbeiten und anschließend Failover für mehrere Regionen bearbeiten aus.

  4. Schalten Sie die Option „Multi-Region-Failover aktivieren“ um.

  5. Wählen Sie Ihre Route 53-Zustandsprüfungs-ID aus den verfügbaren Zustandsprüfungen aus.

  6. Wählen Sie Änderungen speichern aus.

Failover für Amazon Cognito Cognito-APIs und -SDKs

Wenn Sie die Amazon Cognito-APIs oder -SDKs verwenden, wird keine benutzerdefinierte Domain verwendet und Ihre Anwendung ist dafür verantwortlich, den Datenverkehr an den regionalen Endpunkt des Amazon Cognito-Service weiterzuleiten, um Authentifizierung und andere API-Aufrufe zu verarbeiten.

Wenn Sie nur über ein Anwendungs-Frontend verfügen, das einen öffentlichen Client verwendet, z. B. eine einseitige Anwendung (SPA) oder eine mobile App, muss Ihre Anwendung dynamisch sein, um die API-Aufrufe entsprechend weiterzuleiten. Ziehen Sie ein serverloses Anwendungs-Backend in Betracht, um zu bestimmen, in welcher Region die Authentifizierung mit Amazon Cognito beginnen soll.

Wenn Sie über eine Anwendung mit einem Backend verfügen, können Sie hier die Logik festlegen, mit der bestimmt wird, für welchen Benutzerpool die Authentifizierung erfolgen soll.

Wenn Sie sowohl verwaltete Anmeldeendpunkte als auch APIs verwenden, können Sie dieselbe Route 53-Zustandsprüfung als Indikator für Ihre Anwendung verwenden, um zu entscheiden, in welcher Region die API-Aufrufe an Amazon Cognito erfolgen sollen.