4 de junho de 20267 min de leitura

Amazon Cognito agora com replicação multi-Região e chaves gerenciadas pelo cliente: como aumentar a resiliência da autenticação

Sébastien Stormacq

AWS Blog

Banner - Amazon Cognito agora com replicação multi-Região e chaves gerenciadas pelo cliente: como aumentar a resiliência da autenticação

A replicação multi-Região do Amazon Cognito elimina a complexidade de manter consistência de autenticação entre regiões AWS. Com sincronização automática de dados de usuário e chaves gerenciadas pelo cliente, empresas podem manter autenticação contínua durante falhas regionais sem soluções customizadas. O custo adicional por MAU é baixo, mas exige planejamento de endpoints OIDC, Lambda, WAF e logs para failover efetivo.

Manter a autenticação consistente durante uma falha regional sempre foi um dos maiores desafios para arquiteturas multi-Região. Até agora, times de engenharia precisavam construir e manter soluções customizadas de replicação — exportando e importando manualmente dados de usuários entre regiões, o que aumentava riscos de exposição e inconsistências. Com a nova replicação multi-Região do Amazon Cognito, esse cenário muda. A AWS anuncia também o suporte a chaves gerenciadas pelo cliente (customer managed keys — CMK) para criptografia em repouso, dando mais controle sobre a proteção dos dados.

Por que a replicação multi-Região do Cognito é um marco para resiliência?

Para aplicações que dependem de autenticação (seja de usuários finais ou machine-to-machine), a indisponibilidade de um único serviço de identidade pode parar o negócio. A replicação multi-Região resolve isso ao manter uma cópia sincronizada dos dados de usuário, credenciais e configurações do pool em uma região secundária de sua escolha. A replicação é unidirecional (da primária para a secundária), e a região secundária opera em modo somente leitura — foco total em manter a capacidade de autenticação. Sessões existentes continuam sem interrupção.

Na prática, quando você direciona tráfego para a região secundária, usuários existentes fazem login normalmente com suas credenciais, e usuários já autenticados permanecem logados porque ambas as regiões reconhecem access tokens emitidos por qualquer uma delas. Isso vale para todos os métodos de autenticação: federação via provedores sociais (Amazon, Google, Apple, Facebook), SAML, OpenID Connect e fluxos de autorização de API.

Atenção: durante o failover, operações como novo registro de usuário ou atualização de perfil não ficam disponíveis. A região secundária mantém apenas autenticação.

Como configurar a replicação multi-Região no Cognito?

A configuração é feita em três passos diretamente no console da AWS, conforme demonstrado pelo autor. Primeiro, é preciso criar e replicar uma chave gerenciada pelo cliente (CMK) no AWS KMS para criptografar os dados em repouso. Considere que a política da chave deve permitir acesso ao Cognito. O console ajuda com as statements IAM corretas.

Cognito Multi-Region replication - initial state

Selecione a chave customizada e atualize a key policy.

Cognito Multi-Region replication - select CMK

O console confirma quando a chave está corretamente configurada.

Cognito Multi-Region replication - confirm CMK

Segundo, configure o tipo de issuer OIDC. Você deve atualizar seus aplicativos clientes com os novos endpoints — essa mudança exige redeploy de aplicações server-side e atualização de apps mobile na App Store e Google Play. Se não fizer isso, os usuários terão disrupções.

Cognito Multi-Region replication - configure multi region OIDC 1

Confirme as novas URLs e escolha "Change issuer type".

Cognito Multi-Region replication - configure multi region OIDC 2

Terceiro, selecione a região de destino para replicação. Apenas regiões onde a chave de criptografia customizada foi replicada ficam disponíveis.

Cognito Multi-Region replication - start the replication process

O serviço prepara a replicação. O tempo depende do volume de dados no pool de usuários. Quando a réplica estiver pronta, você a ativa manualmente.

Cognito Multi-Region replication - replication process is complete

O status muda para Active e a réplica está pronta para receber tráfego.

Cognito Multi-Region replication - active

Descubra como a Nuvem Online pode ajudar sua empresa a planejar a replicação multi-Região e otimizar sua estratégia de resiliência em cloud.

Quais configurações adicionais são necessárias para o failover?

O console também exibe uma lista de tarefas complementares. Se você usa Lambda triggers para fluxos customizados de autenticação ou notificações SMS/email, precisa implantar e configurar esses recursos na região secundária. Da mesma forma, log streaming e configurações de AWS WAF devem ser configurados manualmente na região de destino antes de redirecionar tráfego de autenticação.

Cognito Multi-Region replication - task list

Ignorar esses itens pode quebrar o failover ou comprometer a segurança. Para empresas brasileiras que usam integrações com Lambda para validação customizada ou envio de SMS por provedores locais, o planejamento antecipado é essencial.

Como funciona o health check e failover?

Os endpoints primário e secundário permanecem ativos o tempo todo. Cabe à sua equipe projetar uma estratégia de monitoramento — observando taxas de erro, latência ou alertas específicos do serviço. Quando os critérios de failover são atingidos, você redireciona o tráfego via atualizações de DNS. Para quem usa managed login e federação com domínios customizados, é possível integrar com health checks do Amazon Route 53, informando o ID do health check.

O autor sugere testar o failover durante horários de baixa demanda, redirecionando uma pequena parcela do tráfego para verificar se a autenticação funciona na região secundária. Essa abordagem gradual reduz riscos e valida a configuração.

Quanto custa e onde está disponível?

O recurso é um add-on para clientes dos tiers Essentials e Plus. Para autenticação de usuários: US$ 0,0045 por MAU (monthly active user) por região réplica no Essentials, e US$ 0,006 no Plus. Para autenticação M2M, o adicional é de 30% sobre o preço padrão por token emitido.

A disponibilidade inclui São Paulo (sa-east-1), tanto como origem quanto como destino. Outras regiões: US East (Ohio, N. Virginia), US West (N. California, Oregon), Asia Pacific (Mumbai, Seoul, Singapore, Sydney, Tokyo), Canada (Central), Europa (Frankfurt, Ireland, London, Paris, Stockholm).

O suporte a chaves gerenciadas pelo cliente está disponível em ainda mais regiões, incluindo África (Cape Town), Ásia-Pacífico (Hong Kong, Hyderabad, Jakarta, Melbourne, Nova Zelândia, Osaka, Seul, Singapura, Sydney, Tailândia, Tóquio), Canadá Oeste (Calgary), Europa (Milão, Espanha, Zurique), Israel (Tel Aviv), México (Central), e AWS GovCloud.

Conclusão: impacto para empresas brasileiras

Manter continuidade de negócios durante incidentes regionais é prioridade — especialmente para fintechs, healthtechs e e-commerces que operam com SLA apertados. A replicação multi-Região elimina a complexidade de construir soluções internas de sincronização, reduz riscos de exposição e garante que a autenticação continue funcionando mesmo com a indisponibilidade de uma região inteira. O suporte a chaves gerenciadas pelo cliente atende requisitos de órgãos reguladores como BACEN e ANPD, dando controle total sobre a criptografia dos dados de identidade.

Para times de engenharia, o principal ponto de atenção é a atualização dos endpoints OIDC nos aplicativos clientes — um passo que exige coordenação com release cycles e aprovação nas lojas de apps. Além disso, lembre-se de replicar também os recursos auxiliares (Lambda, WAF, logs) para que o failover seja completo.

Perguntas Frequentes

  • Quais são os pré-requisitos para usar a replicação multi-Região no Cognito?

    • É necessário configurar uma chave gerenciada pelo cliente (CMK) no AWS KMS, replicada nas regiões primária e secundária, para criptografar dados em repouso. Também é preciso ter um user pool em uma região compatível e, opcionalmente, configurar endpoints OIDC multi-Região.

  • O que acontece com os usuários durante um failover para a região secundária?

    • Usuários existentes continuam autenticados com suas credenciais atuais sem interrupção. Sessões ativas permanecem válidas, pois ambas as regiões reconhecem access tokens emitidos por qualquer uma delas. Operações como registro de novos usuários ou atualização de perfil não ficam disponíveis durante o failover.

  • A replicação multi-Região suporta autenticação machine-to-machine (M2M)?

    • Sim. O recurso replica dados de autenticação M2M e secrets de máquina. Durante o failover, as comunicações entre serviços continuam sem a necessidade de recriar app clients na região secundária, reduzindo retrabalho de configuração.

  • Preciso atualizar meus aplicativos clientes para usar a replicação?

    • Sim. A configuração dos endpoints OIDC multi-Região exige a atualização dos clientes com as novas URLs de emissor. Isso implica redeploy de aplicações server-side e atualização de apps mobile nas lojas. Caso contrário, as requisições aos endpoints antigos serão mal roteadas.

  • A região São Paulo (sa-east-1) está disponível para replicação?

    • Sim. A replicação multi-Região está disponível na América do Sul (São Paulo), tanto como origem quanto como destino. Também há suporte para chaves gerenciadas pelo cliente nessa região.

Artigo originalmente publicado por Sébastien Stormacq em AWS News Blog.

Tags:
#AWS#Cognito#MultiRegion#Resiliencia#Autenticacao#SecOps#DisasterRecovery
Gostou? Compartilhe:

Você também pode gostar

Inspektor Gadget: Resultados da primeira auditoria de segurança — o que times brasileiros precisam saber

Inspektor Gadget: Resultados da primeira auditoria de segurança — o que times brasileiros precisam saber

MAI-Voice-2 no Microsoft Foundry: o que a chegada de um modelo de voz próprio da Microsoft significa para empresas brasileiras

MAI-Voice-2 no Microsoft Foundry: o que a chegada de um modelo de voz próprio da Microsoft significa para empresas brasileiras

Precisa de ajuda?Fale com nossos especialistas 👋
Avatar Walcew - Headset