Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Praktik terbaik multi-tenancy grup pengguna Multi-tenancy berbasis grup berfungsi paling baik saat arsitektur Anda memerlukan kumpulan pengguna Amazon Cognito dengan kumpulan identitas. [ID kumpulan pengguna dan token akses](amazon-cognito-user-pools-using-tokens-with-identity-providers.md#amazon-cognito-user-pools-using-tokens-with-identity-providers.title) berisi `cognito:groups` klaim. Selain itu, token ID berisi `cognito:roles` dan `cognito:preferred_role` klaim. Jika hasil utama autentikasi di aplikasi Anda adalah AWS kredensil sementara dari kumpulan identitas, keanggotaan grup pengguna Anda dapat menentukan [peran IAM](iam-roles.md#iam-roles.title) dan izin yang mereka terima. Sebagai contoh, pertimbangkan tiga penyewa yang masing-masing menyimpan aset aplikasi di bucket Amazon S3 mereka sendiri. Tetapkan pengguna setiap penyewa ke grup terkait, konfigurasikan peran yang disukai untuk grup, dan berikan akses baca peran tersebut ke bucket mereka. Diagram berikut menunjukkan penyewa berbagi klien aplikasi dan kumpulan pengguna, dengan grup khusus di kumpulan pengguna yang menentukan kelayakan mereka untuk peran IAM. ![\[Diagram model many-to-one multi-tenancy di mana setiap penyewa memiliki grup pengguna mereka sendiri di kumpulan pengguna bersama.\]](http://docs.aws.amazon.com/id_id/cognito/latest/developerguide/images/multi-tenancy-group.png) **Kapan menerapkan multi-tenancy grup** Ketika akses ke AWS sumber daya adalah perhatian utama Anda. Grup di kumpulan pengguna Amazon Cognito adalah mekanisme untuk kontrol akses berbasis peran (RBAC). Anda dapat mengonfigurasi banyak grup dalam kumpulan pengguna dan membuat keputusan RBAC yang kompleks dengan prioritas grup. Kumpulan identitas dapat menetapkan kredensil untuk peran dengan prioritas tertinggi, peran apa pun dalam klaim grup, atau dari klaim lain dalam token pengguna. **Tingkat usaha** Tingkat upaya untuk mempertahankan multi-tenancy dengan keanggotaan kelompok saja rendah. Namun, untuk memperluas peran grup kumpulan pengguna di luar kapasitas bawaan untuk pemilihan peran IAM, Anda harus membangun logika aplikasi yang memproses keanggotaan grup dalam token pengguna, dan menentukan apa yang harus dilakukan di klien. Anda dapat mengintegrasikan Izin Terverifikasi Amazon dengan aplikasi Anda untuk membuat keputusan otorisasi sisi klien. Pengidentifikasi grup saat ini tidak diproses dalam operasi [IsAuthorizedWithToken](https://docs.aws.amazon.com/verifiedpermissions/latest/apireference/API_IsAuthorizedWithToken.html)API Izin Terverifikasi, tetapi Anda dapat [mengembangkan kode khusus](https://docs.aws.amazon.com/verifiedpermissions/latest/userguide/identity-providers.html#identity-providers_other-idp) yang mengurai konten token, termasuk klaim keanggotaan grup.