Amazon-Cognito-Identitätspools

Ein Amazon-Cognito-Identitätspool ist ein Verzeichnis von Verbundidentitäten, die Sie gegen  AWS -Anmeldeinformationen austauschen können. Identitätspools generieren temporäre AWS Anmeldeinformationen für die Benutzer Ihrer App, unabhängig davon, ob sie sich angemeldet haben oder ob Sie sie noch nicht identifiziert haben. Mit AWS Identity and Access Management (IAM)-Rollen und -Richtlinien können Sie die Berechtigungsstufe auswählen, die Sie Ihren Benutzern erteilen möchten. Benutzer können als Gäste beginnen und Ressourcen abrufen, die Sie in  AWS-Services speichern. Anschließend können sie sich bei einem externen Identitätsanbieter anmelden, um den Zugriff auf Ressourcen freizuschalten, die Sie registrierten Mitgliedern zur Verfügung stellen. Bei dem externen Identitätsanbieter kann es sich um einen (sozialen) OAuth-2.0-Anbieter für Verbraucher wie Apple oder Google, um einen benutzerdefinierten SAML- oder OIDC-Identitätsanbieter oder um ein benutzerdefiniertes Authentifizierungsschema, auch Entwickleranbieter genannt, nach Ihrem eigenen Design handeln.

Eigenschaften von Amazon-Cognito-Identitätspools

Signieren von Anforderungen für AWS-Services

Signieren Sie API-Anforderungen an AWS-Services wie Amazon Simple Storage Service (Amazon S3) und Amazon DynamoDB . Analysieren Sie Benutzeraktivitäten mit Services wie Amazon Pinpoint und Amazon CloudWatch.

Filtern von Anforderungen mit ressourcenbasierten Richtlinien

Nutzen Sie granulare Kontrolle über den Benutzerzugriff auf Ihre Ressourcen aus. Verwandeln Sie Benutzeranforderungen in IAM-Sitzungs-Tags und erstellen Sie IAM-Richtlinien, die bestimmten Untergruppen Ihrer Benutzer Zugriff auf Ressourcen gewähren.

Gastzugang zuweisen

Für Ihre Benutzer, die sich noch nicht angemeldet haben, konfigurieren Sie Ihren Identitätspool so, dass AWS -Anmeldeinformationen mit einem engen Zugriffsumfang generiert werden. Authentifizieren Sie Benutzer über einen Single-Sign-On-Anbieter, um ihnen den Zugriff zu erleichtern.

Zuweisen von IAM-Rollen auf der Grundlage von Benutzereigenschaften

Weisen Sie allen Ihren authentifizierten Benutzern eine einzige IAM-Rolle zu oder wählen Sie die Rolle basierend auf den Anforderungen der einzelnen Benutzer aus.

Akzeptieren mehrerer Identitätsanbieter

Tauschen Sie ein ID- oder Zugriffstoken, ein Benutzerpool-Token, eine SAML-Assertion oder ein OAuth-Token eines sozialen Anbieters gegen AWS Anmeldeinformationen aus.

Validieren Ihrer eigenen Identitäten

Führen Sie Ihre eigene Benutzervalidierung durch und verwenden Sie Ihre AWS Entwickleranmeldeinformationen, um Anmeldeinformationen für Ihre Benutzer auszugeben.

Möglicherweise haben Sie bereits einen Amazon-Cognito-Benutzerpool, der Authentifizierungs- und Autorisierungsdienste für Ihre App bereitstellt. Sie können Ihren Benutzerpool als Identitätsanbieter (IdP) für Ihren Identitätspool einrichten. Wenn Sie dies tun, können sich Ihre Benutzer über Ihren Benutzerpool authentifizieren IdPs, ihre Ansprüche in einem gemeinsamen OIDC-Identitätstoken konsolidieren und dieses Token gegen - AWS Anmeldeinformationen eintauschen. Ihr Benutzer kann dann seine Anmeldeinformationen in einer signierten Anfrage an Ihre  AWS-Services weitergeben.

Sie können auch authentifizierte Anforderungen von einem Ihrer Identitätsanbieter direkt Ihrem Identitätspool präsentieren. Amazon Cognito passt Benutzeransprüche von SAML-, OAuth- und OIDC-Anbietern in eine AssumeRoleWithWebIdentity API-Anfrage für kurzfristige Anmeldeinformationen an.

Amazon-Cognito-Benutzerpools fungieren wie OIDC-Identitätsanbieter für Ihre SSO-fähigen Apps. Identitätspools fungieren als AWS-Identitätsanbieter für jede App mit Ressourcenabhängigkeiten, die am besten mit IAM-Autorisierung funktionieren.

Amazon-Cognito-Identitätspools unterstützen die folgenden Identitätsanbieter:

• Öffentliche Anbieter: Einrichten von Login with Amazon als Identitätspool-IdP, Einrichten von Facebook als Identitätspool-IdP, Einrichten von Google als Identitätspool-IdP, Einrichten von „Mit Apple anmelden“ als Identitätspool-IdP, Twitter.

• Amazon-Cognito-Benutzerpools

• Einrichten eines OIDC-Anbieters als Identitätspool-IdP

• Einrichten eines SAML-Anbieters als Identitätspool-IdP

• Entwicklerauthentifizierte Identitäten (Identitätspools)

Weitere Informationen zur regionalen Verfügbarkeit von Amazon-Cognito-Identitäten-Pools finden Sie unter Regionale Verfügbarkeit von AWS -Services.

Weitere Informationen zu Amazon-Cognito-Identitätspools finden Sie in den folgenden Themen.

Themen

• Erste Schritte mit Amazon-Cognito-Identitätspools (Verbundidentitäten)
• Verwenden von Identitätspools (Verbundidentitäten)
• Identitätspool-Konzepte (Verbundidentitäten)
• Verwenden von Attributen für Zugriffskontrolle
• Verwenden der rollenbasierten Zugriffskontrolle
• Abrufen von Anmeldeinformationen
• Zugriff auf - AWS Services
• Externe Identitätsanbieter von Identitäten-Pools
• Entwicklerauthentifizierte Identitäten (Identitätspools)
• Wechseln von nicht authentifizierten Benutzern zu authentifizierten Benutzern (Identitäten-Pools)