本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
多租户应用程序最佳实践
Amazon Cognito 用户池适用于生成大量请求的多租户应用,这些请求必须保持在 Amazon Cognito 的配额范围内。要在客户群增长时纵向扩展此容量,您可以购买额外的配额容量。
注意
Amazon Cognito 配额按和适用。 Amazon Web Services 账户 Amazon Web Services 区域这些配额在应用程序中的所有租户之间共享。请查看 Amazon Cognito 服务配额,并确保配额符合您应用程序中的预期容量和预期租户数量。
本节介绍您可以实施的方法来区分同一区域内的 Amazon Cognito 资源和。 Amazon Web Services 账户您也可以将租户分配到多个 Amazon Web Services 账户 或多个区域,并为每个租户分配自己的配额。多区域多租赁的其他优势包括尽可能高的隔离级别、为全球分布的用户实现更短的网络传输时间,以及遵守组织中现有的分发模式。
单区域多租赁也可为客户和管理员带来好处。
以下列表介绍了使用共享资源的多租赁的一些优势。
多租赁的优势
- 通用用户目录
-
多租赁支持客户在多个应用程序中拥有账户的模式。您可以将来自第三方提供者的身份关联到单个一致的用户池配置文件中。如果用户配置文件是其租户所独有的,则任何具有单个用户池的多租赁策略都有一个用户管理的切入点。
- 通用安全性
-
在共享用户池中,您可以创建单一的安全标准,并将相同的威胁防护、多因素身份验证 (MFA) Amazon WAF和标准应用于所有租户。由于 Amazon WAF Web ACL 必须与您关联的资源 Amazon Web Services 区域 相同,因此多租户提供对复杂资源的共享访问权限。如果您想在多区域 Amazon Cognito 应用程序中保持一致的安全配置,则必须应用操作标准,在资源之间复制配置。
- 通用自定义
-
您可以使用自定义用户池和身份池 Amazon Lambda。用户池中的 Lambda 触发器和身份池中的 Amazon Cognito 事件的配置会变得复杂。Lambda 函数必须与您的用户池或身份池位于同一个 Amazon Web Services 区域 中。共享 Lambda 函数可为一个区域内的自定义身份验证流程、用户迁移、令牌生成和其他功能强制执行标准。
- 通用消息发送
-
Amazon Simple Notification Service(Amazon SNS)需要在区域中进行额外配置,然后才能向用户发送短信。您可以使用 Amazon Simple Email Service(Amazon SES)已验证的身份和区域中包含的域来发送电子邮件消息。
借助多租赁,您可以在所有租户之间共享此配置和维护开销。由于 Amazon SNS 和 Amazon SES 并非在所有 Amazon Web Services 区域均可用,因此在不同区域之间分配资源需要额外考量。
使用自定义消息传递提供方时,您可以通过单个 Lambda 函数的通用自定义来管理您的消息传送。
托管登录在浏览器中设置会话 Cookie,以便识别已经通过身份验证的用户。当您对用户池中的本地用户进行身份验证时,用户的会话 Cookie 会在同一用户池中针对所有应用程序客户端对用户进行身份验证。本地用户仅存在于您的用户群体目录中,无需通过外部 IdP 进行联合身份验证。会话 Cookie 的有效期为 1 小时。您无法更改会话 Cookie 的持续时间。
有两种方法可以防止使用托管 UI 会话 Cookie 跨应用程序客户端登录。
-
将用户分配到按租户划分的用户池。
-
将托管 UI 登录替换为 Amazon Cognito 用户池 API 登录。