Erste Schritte mit Amazon Cognito Cognito-Identitätspools - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Amazon Cognito Cognito-Identitätspools

Mit Amazon-Cognito-Identitätspools können Sie eindeutige Identitäten erstellen und Benutzern Berechtigungen zuweisen. Ihr Identitätspool kann Identitäten aus den folgenden Arten von Authentifizierungsdiensten einbeziehen:

  • Benutzer in einem Amazon-Cognito-Benutzerpool

  • Benutzer, die sich bei externen Identitätsanbietern wie Facebook, Google, Apple OIDC oder einem SAML Identitätsanbieter authentifizieren.

  • Benutzer, die sich mit Ihrem eigenen vorhandenen Authentifizierungsablauf authentifizieren

Nachdem sich Benutzer bei ihrem Anbieter authentifiziert und die Autorisierung für einen Identitätspool vorgelegt haben, erhalten sie temporäre AWS Anmeldeinformationen. Die Anmeldeinformationen von Benutzern verfügen über Berechtigungen, die Sie für den Zugriff auf andere AWS-Services Benutzer definieren.

Erstellen eines Identitätspools in Amazon Cognito

Sie können einen Identitätspool über die Amazon Cognito-Konsole erstellen, oder Sie können den AWS Command Line Interface (CLI) oder den Amazon APIs Cognito verwenden. Das folgende Verfahren ist eine allgemeine Anleitung zum Erstellen eines neuen Identitätspools in der Konsole. Sie können auch direkt zur Konsole springen und den Anleitungen und den Inhalten der Inline-Hilfe folgen.

So erstellen Sie einen neuen Identitäten-Pool in der Konsole
  1. Melden Sie sich bei der Amazon-Cognito-Konsole an und wählen Sie Identitätspools aus.

  2. Wählen Sie Identitätspool erstellen.

  3. Wählen Sie  unter Identitätspool-Vertrauen konfigurieren aus, ob Sie Ihren Identitätspool für authentifizierten Zugriff, Gastzugriff oder beides einrichten möchten.

    1. Wenn Sie Authentifizierter Zugriff ausgewählt haben, wählen Sie einen oder mehrere Identitätstypen aus, die Sie als Quelle für authentifizierte Identitäten in Ihrem Identitätspool festlegen möchten. Wenn Sie einen benutzerdefinierten Entwickleranbieter konfigurieren, können Sie diesen nicht ändern oder löschen, nachdem Sie Ihren Identitätspool erstellt haben.

  4. Wählen Sie unter Berechtigungen konfigurieren eine IAM Standardrolle für authentifizierte Benutzer oder Gastbenutzer in Ihrem Identitätspool aus.

    1. Wählen Sie Neue IAM Rolle erstellen, wenn Sie möchten, dass Amazon Cognito für Sie eine neue Rolle mit grundlegenden Berechtigungen und einer Vertrauensbeziehung mit Ihrem Identitätspool erstellt. Geben Sie beispielsweise myidentitypool_authenticatedrole einen IAMRollennamen ein, um Ihre neue Rolle zu identifizieren. Wählen Sie Richtliniendokument anzeigen aus, um die Berechtigungen zu überprüfen, die Amazon Cognito Ihrer neuen IAM Rolle zuweist.

    2. Sie können wählen, ob Sie eine bestehende IAM Rolle verwenden möchten, wenn Sie bereits eine Rolle in Ihrer haben AWS-Konto , die Sie verwenden möchten. Sie müssen Ihre IAM Rollenvertrauensrichtlinie so konfigurieren, dass sie Folgendes einschließtcognito-identity.amazonaws.com. Konfigurieren Sie Ihre Rollen-Vertrauensrichtlinie so, dass Amazon Cognito die Rolle nur übernehmen kann, wenn nachgewiesen wird, dass die Anforderung von einem authentifizierten Benutzer in Ihrem spezifischen Identitätspool stammt. Weitere Informationen finden Sie unter Vertrauensstellungen und Berechtigungen für Rollen.

  5. Geben Sie in Connect Identity Providers die Details der Identitätsanbieter (IdPs) ein, die Sie unter Identitätspool-Trust konfigurieren ausgewählt haben. Möglicherweise werden Sie aufgefordert, OAuth App-Client-Informationen anzugeben, einen Amazon Cognito Cognito-Benutzerpool auszuwählen, einen IAM IdP auszuwählen oder eine benutzerdefinierte ID für einen Entwickleranbieter einzugeben.

    1. Wählen Sie die Rolleneinstellungen für jeden IdP aus. Sie können Benutzern dieses IdPs die Standardrolle zuweisen, die Sie bei der Konfiguration Ihrer authentifizierten Rolle eingerichtet haben, oder die Rolle mit Regeln wählen. Mit einem Amazon-Cognito-Benutzerpool-IdP können Sie auch eine Rolle mit preferred_role in Token auswählen. Weitere Informationen zur cognito:preferred_role-Anforderung finden Sie unter Zuweisen von Prioritätswerten zu Gruppen.

      1. Wenn Sie Rolle mit Regeln wählen ausgewählt haben, geben Sie die Quell-Anforderung aus der Benutzerauthentifizierung, den Operator, mit dem Sie die Anforderung vergleichen möchten, den Wert, der zu einer Übereinstimmung mit dieser Rollenauswahl führt, und die Rolle ein, die Sie zuweisen möchten, wenn die Rollenzuweisung übereinstimmt. Wählen Sie Weitere hinzufügen aus, um eine zusätzliche Regel zu erstellen, die auf einer anderen Bedingung basiert.

      2. Wählen Sie eine Rollenauflösung. Wenn die Anforderungen Ihres Benutzers nicht Ihren Regeln entsprechen, können Sie Anmeldeinformationen verweigern oder Anmeldeinformationen für Ihre Authentifizierte Rolle ausgeben.

    2. Sie können Attribute für die Zugriffskontrolle für jeden IdP separat konfigurieren. Attribute für die Zugriffskontrolle ordnen Benutzeranforderungen den Prinzipal-Tags zu, die Amazon Cognito auf die temporäre Sitzung anwendet. Sie können IAM Richtlinien erstellen, um den Benutzerzugriff anhand der Tags zu filtern, die Sie auf ihre Sitzung anwenden.

      1. Um keine Prinzipal-Tags anzuwenden, wählen Sie Inaktiv aus.

      2. Wählen Sie Standardzuordnungen verwenden, um Prinzipal-Tags auf der Grundlage von sub- und aud-Anforderungen anzuwenden.

      3. Um Ihr eigenes benutzerdefiniertes Schema von Attributen für Prinzipal-Tags zu erstellen, wählen Sie Benutzerdefinierte Zuordnungen verwenden. Geben Sie dann einen Tag-Schlüssel ein, den Sie aus jeder Anforderung beziehen möchten, die Sie in einem Tag repräsentieren möchten.

  6. Geben Sie unter Eigenschaften konfigurieren unter Identitätspool-Name einen Namen ein.

  7. Wählen Sie unter Standardauthentifizierung (klassische Authentifizierung) aus, ob Sie den Standardablauf aktivieren möchten. Wenn der Basisablauf aktiv ist, können Sie die Rollenauswahl, die Sie für Ihre Person getroffen haben, umgehen IdPs und AssumeRoleWithWebIdentitydirekt anrufen. Weitere Informationen finden Sie unter Identitäten-Pools – Authentifzierungsablauf.

  8. Wählen Sie unter Tags die Option Tag hinzufügen aus, wenn Sie Tags auf Ihren Identitätspool anwenden möchten.

  9. Bestätigen Sie unter Überprüfen und erstellen die Auswahl, die Sie für Ihren neuen Identitätspool getroffen haben. Wählen Sie Bearbeiten, um zum Assistenten zurückzukehren und Einstellungen zu ändern. Wählen Sie danach Identitätspool erstellen aus.

Richten Sie eine ein SDK

Um Amazon Cognito Cognito-Identitätspools zu verwenden, richten Sie AWS Amplify AWS SDK for Java, den oder den AWS SDK for .NET ein. Weitere Informationen finden Sie unter den folgenden Themen.

Integrieren der Identitätsanbieter

Amazon Cognito Cognito-Identitätspools (föderierte Identitäten) unterstützen die Benutzerauthentifizierung über Amazon Cognito Cognito-Benutzerpools, föderierte Identitätsanbieter — einschließlich Amazon, Facebook, Google, Apple und Identitätsanbieter — und nicht authentifizierte Identitäten. SAML Diese Funktion unterstützt auch Entwicklerauthentifizierte Identitäten, mit denen Sie Benutzer über Ihren eigenen Backend-Authentifizierungsablauf registrieren und authentifizieren können.

Weitere Informationen zur Verwendung eines Amazon-Cognito-Benutzerpools zum Einrichten eines eigenen Benutzerverzeichnisses finden Sie unter Amazon-Cognito-Benutzerpools und Zugriff AWS-Services über einen Identitätspool nach der Anmeldung.

Weitere Informationen zur Verwendung von externen Identitätsanbietern erhalten Sie unter Identitätspools, Identitätsanbieter von Drittanbietern.

Weitere Informationen zur Integration eines eigenen Backend-Authentifizierungsablaufs finden Sie unter Entwicklerauthentifizierte Identitäten.

Abrufen von Anmeldeinformationen

Amazon Cognito Cognito-Identitätspools bieten temporäre AWS Anmeldeinformationen für Benutzer, die Gäste sind (nicht authentifiziert), und für Benutzer, die sich authentifiziert haben und ein Token erhalten haben. Mit diesen AWS Anmeldeinformationen kann Ihre App AWS über Amazon API Gateway sicher auf ein Backend innerhalb AWS oder außerhalb zugreifen. Siehe Abrufen von Anmeldeinformationen.