Groupes d’identités Amazon Cognito - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Groupes d’identités Amazon Cognito

Une réserve d'identités Amazon Cognito est un annuaire d'identités fédérées que vous pouvez échanger contre des informations d'identification  AWS . Les pools d'identités génèrent des AWS informations d'identification temporaires pour les utilisateurs de votre application, qu'ils soient connectés ou que vous ne les ayez pas encore identifiés. Avec les rôles et les politiques AWS Identity and Access Management (IAM), vous pouvez choisir le niveau d'autorisation que vous souhaitez accorder à vos utilisateurs. Les utilisateurs peuvent commencer en tant qu'invités et récupérer les ressources que vous conservez dans les  Services AWS. Ils peuvent ensuite se connecter auprès d'un fournisseur d'identité tiers pour débloquer l'accès aux ressources que vous mettez à la disposition des membres enregistrés. Le fournisseur d'identité tiers peut être un fournisseur (social) OAuth 2.0 grand public tel qu'Apple ou Google, un fournisseur personnalisé SAML ou OIDC d'identité, ou un système d'authentification personnalisé, également appelé fournisseur de développement, conçu par vos soins.

Fonctionnalités des réserves d’identités Amazon Cognito
Signer des demandes pour Services AWS

Signez des API demandes Services AWS comme Amazon Simple Storage Service (Amazon S3) et Amazon DynamoDB. Analysez l'activité des utilisateurs avec des services tels qu'Amazon Pinpoint et Amazon. CloudWatch

Filtrer les demandes avec des politiques basées sur les ressources

Exercez un contrôle précis sur l'accès des utilisateurs à vos ressources. Transformez les demandes des utilisateurs en balises de IAM session et élaborez des IAM politiques qui accordent l'accès aux ressources à des sous-ensembles distincts de vos utilisateurs.

Attribuer un accès invité

Pour vos utilisateurs qui ne se sont pas encore connectés, configurez votre réserve d'identités pour générer des informations d'identification  AWS  avec une étendue d'accès restreinte. Authentifiez les utilisateurs via un fournisseur d'authentification unique pour améliorer leur accès.

Attribuez IAM des rôles en fonction des caractéristiques de l'utilisateur

Attribuez un IAM rôle unique à tous vos utilisateurs authentifiés ou choisissez le rôle en fonction des revendications de chaque utilisateur.

Accepter divers fournisseurs d'identité

Échangez un identifiant ou un jeton d'accès, un jeton de groupe d'utilisateurs, une SAML assertion ou un OAuth jeton de fournisseur social contre des AWS informations d'identification.

Valider vos propres identités

Procédez à votre propre validation utilisateur et utilisez vos AWS informations d'identification de développeur pour délivrer des informations d'identification à vos utilisateurs.

Vous disposez peut-être déjà d'un groupe d'utilisateurs Amazon Cognito qui fournit des services d'authentification et d'autorisation à votre application. Vous pouvez configurer votre groupe d'utilisateurs en tant que fournisseur d'identité (IdP) pour votre réserve d'identités. Lorsque vous le faites, vos utilisateurs peuvent s'authentifier par le biais de votre groupe d'utilisateurs IdPs, regrouper leurs demandes dans un jeton d'OIDCidentité commun et échanger ce jeton contre des AWS informations d'identification. Votre utilisateur peut ensuite présenter ses informations d'identification dans une demande signée adressée à vos  Services AWS.

Vous pouvez également présenter des champs standard authentifiés provenant de l'un de vos fournisseurs d'identité directement dans votre réserve d'identités. Amazon Cognito personnalise les demandes des utilisateurs émanant de SAMLOAuth, et des OIDC fournisseurs sous la forme d'une AssumeRoleWithWebIdentityAPIdemande d'informations d'identification à court terme.

Les groupes d'utilisateurs Amazon Cognito sont comme des fournisseurs OIDC d'identité pour vos applications SSO compatibles. Les pools d'identités agissent comme un fournisseur AWSd'identité pour toute application dont les dépendances de ressources fonctionnent le mieux avec une IAM autorisation.

Les groupes d'identités Amazon Cognito prennent en charge les fournisseurs d'identité suivants :

Pour plus d'informations sur la disponibilité régionale des groupes d'identités Amazon Cognito, consultez Disponibilité des services AWS par région.

Pour plus d'informations sur les groupes d'identités Amazon Cognito, consultez les rubriques suivantes.