Editor Top
|
|
Como defensor de los desarrolladores que trabaja con desarrolladores de aplicaciones web y móviles, a menudo he oído hablar de la necesidad de mantener una autenticación de usuario consistente en el improbable caso de una interrupción del servicio regional. El uso cada vez mayor de IA agente, microservicios, automatización y cuentas de servicio ha generado una necesidad similar de autenticación de máquina a máquina. Hoy, me complace compartir dos actualizaciones importantes de Amazon Cognito: replicación multiregión para mejorar la resiliencia y apoyar a claves administradas por el cliente para un mayor control de cifrado.
Muchas aplicaciones dependen de Amazon Cognito para manejar la autenticación de usuario y de máquina a máquina, y para administrar perfiles de usuario. Al crear alta disponibilidad, tener datos consistentes en diferentes regiones de AWS es un enfoque clave y, hasta ahora, lograr esa coherencia planteaba desafíos importantes. Los equipos de ingeniería dedicaron mucho tiempo a crear y mantener soluciones de replicación personalizadas para sincronizar configuraciones en todas las regiones. La exportación e importación manual de datos de usuarios entre regiones crearon riesgos de seguridad debido a una posible exposición de datos e introdujeron oportunidades de inconsistencias en los datos. Durante las transiciones regionales, los usuarios finales experimentaron interrupciones como restablecimientos forzados de contraseñas y reautenticación. Para las comunicaciones de máquina a máquina, los equipos tuvieron que crear nuevos clientes de aplicaciones en la región secundaria, lo que significó reconfigurar sus aplicaciones y actualizar los recursos protegidos por OAuth para aceptar tokens de acceso emitidos por el nuevo emisor regional. Estos desafíos dificultaron el mantenimiento de operaciones ininterrumpidas en todas las regiones.
Con la replicación multiregión, Amazon Cognito mantiene automáticamente una copia sincronizada de sus datos de usuario y secretos de máquina en una región secundaria de AWS de su elección. La replicación fluye en una dirección, desde su región principal a la región secundaria. Esto incluye perfiles de usuario, credenciales y configuraciones de grupo. La Región secundaria opera en modo de solo lectura, enfocándose en mantener las capacidades de autenticación. Las sesiones existentes continúan ininterrumpidamente.
Cuando necesita dirigir el tráfico a la región secundaria, sus usuarios existentes pueden continuar iniciando sesión con sus credenciales existentes sin interrupciones, y los usuarios actualmente registrados permanecen autenticados porque ambas regiones reconocen los tokens de acceso emitidos por cualquiera de las regiones. La replicación multiregión admite todos los métodos de autenticación, incluido el inicio de sesión federado a través de proveedores sociales (Amazon, Google, Apple, Facebook), integraciones de lenguaje de marcado de aserción de seguridad (SAML) y OpenID Connect (OIDC), y flujos de autorización de API. Este enfoque mantiene la disponibilidad tanto para las aplicaciones orientadas al cliente como para las comunicaciones de máquina a máquina en sus servicios backend. Si bien la autenticación continúa sin interrupción, operaciones como el registro de nuevos usuarios o las actualizaciones de perfiles no están disponibles durante la conmutación por error.
Antes de configurar la replicación multiregión, debe configurar una clave administrada por el cliente multiregión almacenada en AWS Key Management Service (AWS KMS) para cifrar los datos de su usuario en reposo. Estas claves brindan cifrado consistente en todas las regiones y al mismo tiempo le brindan control sobre su estrategia de cifrado.
Cómo funciona esto en la práctica
Empiezo esta demostración con un grupo de usuarios de Cognito existente en el us-west-2 (Oregón) Región. Quiero configurar la replicación para us-east-1 (Virginia del Norte). También tengo una clave administrada por el cliente replicada en estas dos regiones.
Configurar la replicación multiregión consta de solo tres pasos. La Consola de administración de AWS me guía a través de los pasos: configurar una clave personalizada para el cifrado, configurar puntos finales OIDC multirregionales y configurar la replicación en sí.
Primero, configuro una clave AWS KMS personalizada para cifrar los datos en reposo.
Selecciono la clave personalizada que creé. También actualizo la política de claves para permitir que Amazon Cognito acceda y utilice la clave. La consola muestra las declaraciones de política de IAM correctas para agregar a mi política de claves.
La consola confirma cuando la clave personalizada está seleccionada y configurada correctamente.
En segundo lugar, sigo las instrucciones de la consola para configurar el tipo de emisor OIDC. En Paso 2 – opcionalyo elijo Configurar.
Me aseguro de actualizar mis aplicaciones cliente con estos nuevos puntos finales. Este es un cambio necesario que requerirá una redistribución de las aplicaciones del lado del servidor y un envío de actualizaciones para las aplicaciones móviles en App Store y Google Play. Si no actualizo los puntos finales, mis usuarios experimentarán interrupciones porque las solicitudes a los puntos finales antiguos ya no se enrutarán correctamente.
En la siguiente pantalla, selecciono Actualizado. Tomo nota de las nuevas URL. Confirmo los cambios y elijo Cambiar tipo de emisor.
Finalmente, selecciono la región de destino para la replicación. Solo están disponibles para su selección las regiones donde se replica la clave de cifrado personalizada. Después de haber elegido la Región de destino, elijo Crear.
.
El servicio prepara la replicación. El tiempo necesario depende de la cantidad de datos en el grupo de usuarios.
Cuando el grupo de usuarios replicados está listo, manualmente Activar él.
El estado de replicación pasa a ser Activo. Está listo para dirigir el tráfico a la réplica.
Configuraciones adicionales
La consola me ayuda a realizar un seguimiento de las configuraciones adicionales que tengo que planificar. Cuando uso funciones Lambda para flujos de autenticación personalizados o notificaciones por SMS o correo electrónico, también debo implementar y configurar estos recursos en la nueva región.
De manera similar, la transmisión de registros o la configuración de AWS WAF se deben configurar manualmente en la región de destino antes de comenzar a dirigir el tráfico de autenticación hacia ella.
Comprobaciones de estado y conmutación por error
Tanto los puntos finales regionales primarios como los secundarios permanecen activos y listos para atender su tráfico en todo momento. Para monitorear el estado del sistema y administrar las conmutaciones por error, usted diseña una estrategia que se alinea con los requisitos específicos y la postura de seguridad de su aplicación. Puede implementar controles de estado para monitorear el estado de los servicios de autenticación en su región principal y definir criterios sobre cuándo iniciar la conmutación por error. Estas comprobaciones pueden buscar tasas de error, patrones de latencia o alertas de servicios específicos.
Cuando su sistema de monitoreo detecta problemas que cumplen con sus criterios de conmutación por error, puede redirigir el tráfico a la región secundaria a través de actualizaciones de DNS. Este enfoque le brinda control sobre el proceso de conmutación por error mientras mantiene la seguridad. Considere probar su estrategia de conmutación por error durante las horas de menor actividad redirigiendo una pequeña porción del tráfico para verificar que la autenticación continúa funcionando como se esperaba en la región secundaria.
Al utilizar el inicio de sesión administrado y la federación con dominios personalizados, también puede utilizar la función de enrutamiento de tráfico integrada proporcionando un ID de verificación de estado de Amazon Route 53.
Precios y disponibilidad
La replicación multiregión está disponible hoy como una característica complementaria para los clientes de Amazon Cognito que utilizan los niveles Essentials y Plus. Para la autenticación de usuarios, el complemento cuesta $0,0045 por usuario activo mensual por región de réplica para clientes del nivel Essentials y $0,006 por usuario activo mensual por región de réplica para clientes del nivel Plus. Para la autenticación de máquina a máquina (M2M), el complemento supone un cargo del 30% además del precio estándar basado en el volumen para los tokens emitidos con éxito. Para obtener información detallada sobre precios, consulte Precios de Amazon Cognito.
La replicación multirregional está disponible en las siguientes regiones: EE. UU. Este (Ohio, Norte de Virginia), EE. UU. Oeste (Norte de California, Oregón), Asia Pacífico (Mumbai, Seúl, Singapur, Sídney, Tokio), Canadá (Central), Europa (Frankfurt, Irlanda, Londres, París, Estocolmo) y América del Sur (São Paulo).
Cualquiera de estas regiones se puede utilizar como origen o destino para la replicación.
La compatibilidad con claves administradas por el cliente está disponible para los niveles Essentials y Plus. Está disponible en las siguientes regiones: Este de EE. UU. (Ohio, Virginia del Norte), Oeste de EE. UU. (Norte de California, Oregón), África (Ciudad del Cabo), Asia Pacífico (Hong Kong, Hyderabad, Yakarta, Malasia, Melbourne, Mumbai, Nueva Zelanda, Osaka, Seúl, Singapur, Sydney, Tailandia, Tokio), Canadá (Central), Canadá Oeste (Calgary), Europa (Frankfurt, Irlanda, Londres, Milán, París, España, Estocolmo, Zurich), Israel (Tel Aviv), México (Central), América del Sur (São Paulo) y AWS GovCloud (EE.UU. Este, EE.UU. Oeste)
Según mis conversaciones con clientes, mantener la continuidad del negocio durante incidentes regionales y al mismo tiempo cumplir con los requisitos de seguridad es una alta prioridad. La replicación multiregión brinda la capacidad de crear aplicaciones más resistentes sin administrar usted mismo una lógica de replicación compleja. La sincronización automática de los datos y las configuraciones del usuario reduce la sobrecarga operativa y al mismo tiempo mantiene la seguridad.
Para los clientes de industrias reguladas, la nueva compatibilidad con claves administradas por el cliente proporciona control adicional sobre el cifrado de datos. Ahora puede utilizar sus propias claves de cifrado para proteger los datos de los usuarios en reposo, lo que le ayudará a cumplir con los requisitos normativos en industrias como la atención médica y los servicios financieros.
Para comenzar con la replicación multiregión y el cifrado de claves administrado por el cliente, visite la consola de Amazon Cognito o consulte la documentación para obtener instrucciones de configuración detalladas. Espero saber cómo utiliza esta función para fortalecer la arquitectura de su aplicación.
