피드로 돌아가기
InfoQInfrastructure
원문 읽기
Cognito Multi-Region Replication 도입을 통한 인증 가용성 확보 및 커스텀 동기화 제거
AWS Adds Multi-Region Replication to Amazon Cognito Identity Service
AI 요약
Context
기존 Region 장애 시 인증 서비스 연속성 확보를 위해 수동 데이터 Export/Import 기반의 커스텀 복제 솔루션 운영. 이 과정에서 데이터 노출 위험과 불일치 문제가 발생했으며 사용자 강제 패스워드 리셋 등 UX 저하 초래.
Technical Solution
- Primary에서 Secondary Region으로의 일방향 자동 복제를 통한 User Identity 및 Configuration 동기화 설계
- Active-Passive 구조 채택으로 Secondary Region을 Read-only 상태로 유지하여 데이터 일관성 보장
- 양쪽 Region 모두에서 발행된 Access Token을 상호 인식하는 구조를 통한 세션 유효성 유지
- Multi-region AWS KMS Key 연동을 통한 엄격한 보안 및 Compliance 요구사항 충족
- DNS 기반 Failover 및 Custom Domain, Health Check 조합을 통한 트래픽 전환 메커니즘 구현
- Federated Sign-in(OIDC, SAML) 및 API Authorization Flow를 포함한 모든 인증 메소드 지원
실천 포인트
1. TOTP MFA 사용 여부 확인(Secondary Region 미지원으로 인한 제약 검토)
2. DNS-driven Failover를 위한 Custom Domain 및 Health Check 설정 계획 수립
3. Write 작업(회원가입, 프로필 수정)의 Failover 시나리오 및 제약 사항 정의
4. Multi-region Customer-managed KMS Key 생성 및 권한 설정 검토