Práticas recomendadas de aplicações de vários locatários - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas de aplicações de vários locatários

Os grupos de usuários do Amazon Cognito operam com aplicativos multilocatários que geram um volume de solicitações que devem permanecer dentro das cotas do Amazon Cognito. Para aumentar essa capacidade à medida que sua base de clientes cresce, você pode comprar capacidade de cota adicional.

nota

As cotas do Amazon Cognito são aplicadas de forma periódica. Conta da AWS Região da AWS Essas cotas são compartilhadas entre todos os locatários da aplicação. Analise as cotas do serviço Amazon Cognito e certifique-se de que a cota atenda ao volume esperado e ao número esperado de inquilinos em seu aplicativo.

Esta seção descreve métodos que você pode implementar para separar inquilinos entre os recursos do Amazon Cognito dentro da mesma região e. Conta da AWS Você também pode dividir seus inquilinos em mais de uma Conta da AWS região e dar a cada um deles sua própria cota. Outras vantagens da multilocação multirregional incluem o nível mais alto possível de isolamento, o menor tempo de trânsito da rede para usuários distribuídos globalmente e a adesão aos modelos de distribuição existentes em sua organização.

A multilocação em uma única região também pode trazer vantagens para seus clientes e administradores.

A lista a seguir aborda algumas das vantagens da multilocação com recursos compartilhados.

Vantagens da multilocação
Diretório comum de usuários

A multilocação oferece suporte a modelos em que os clientes têm contas em mais de um aplicativo. Você pode vincular identidades de fornecedores terceirizados em um único perfil consistente de grupo de usuários. Nos casos em que os perfis de usuário são exclusivos do locatário, qualquer estratégia de multilocação com um único grupo de usuários tem um ponto de entrada para a administração do usuário.

Segurança comum

Em um grupo de usuários compartilhado, você pode criar um único padrão de segurança e aplicar a mesma segurança avançada, autenticação multifatorial (MFA) e AWS WAFpadrões a todos os locatários. Como uma AWS WAF web ACL deve ser igual Região da AWS ao recurso ao qual você a associa, a multilocação oferece acesso compartilhado a um recurso complexo. Quando quiser manter uma configuração de segurança consistente em aplicativos multirregionais do Amazon Cognito, você deve aplicar padrões operacionais que repliquem sua configuração entre recursos.

Personalização comum

Você pode personalizar grupos de usuários e grupos de identidades com AWS Lambda. A configuração de acionadores Lambda em grupos de usuários e eventos do Amazon Cognito em grupos de identidades pode se tornar complexa. As funções do Lambda devem estar no mesmo grupo Região da AWS de usuários ou grupo de identidades. As funções compartilhadas do Lambda podem impor padrões para fluxos de autenticação personalizados, migração de usuários, geração de tokens e outras funções em uma região.

Mensagens comuns

O Amazon Simple Notification Service (AmazonSNS) exige configuração adicional em uma região antes que você possa enviar SMSmensagens aos seus usuários. Você pode enviar mensagens de e-mail com identidades e domínios verificados do Amazon Simple Email Service (AmazonSES) que estão contidos em uma região.

Com a multilocação, você pode compartilhar essa sobrecarga de configuração e manutenção entre todos os seus inquilinos. Como a Amazon SNS e a Amazon SES não estão disponíveis em todos Regiões da AWS, dividir seus recursos entre regiões exige uma consideração adicional.

Ao usar provedores de mensagens personalizados, você obtém a personalização comum de uma única função do Lambda para gerenciar sua entrega de mensagens.

A interface de usuário hospedada define um cookie de sessão no navegador para que ele reconheça um usuário que já tenha se autenticado. Quando você autentica usuários locais em um grupo de usuários, o cookie de sessão os autentica para todos os clientes do aplicativo no mesmo grupo de usuários. Um usuário local existe exclusivamente em seu diretório de grupo de usuários sem federação por meio de um IdP externo. O cookie da sessão é válido por uma hora. Não é possível alterar a duração do cookie da sessão.

Há duas maneiras de impedir o login em clientes de aplicativos com um cookie de sessão de interface de usuário hospedado.

  • Separe seus usuários em grupos de usuários por locatário.

  • Substitua o login da UI hospedada pelo login dos grupos de usuários do Amazon Cognito. API