Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kumpulan identitas Amazon Cognito
Kumpulan identitas Amazon Cognito adalah direktori identitas federasi yang dapat Anda tukarkan dengan kredensialnya. AWS Kumpulan identitas menghasilkan AWS kredensil sementara untuk pengguna aplikasi Anda, apakah mereka telah masuk atau Anda belum mengidentifikasinya. Dengan peran dan kebijakan AWS Identity and Access Management (IAM), Anda dapat memilih tingkat izin yang ingin Anda berikan kepada pengguna. Pengguna dapat memulai sebagai tamu dan mengambil aset yang Anda simpan. Layanan AWS Kemudian mereka dapat masuk dengan penyedia identitas pihak ketiga untuk membuka akses ke aset yang Anda sediakan untuk anggota terdaftar. Penyedia identitas pihak ketiga dapat berupa penyedia konsumen (sosial) OAuth 2.0 seperti Apple atau Google, penyedia kustom SAML atau OIDC identitas, atau skema otentikasi khusus, juga disebut penyedia pengembang, dari desain Anda sendiri.
Fitur kumpulan identitas Amazon Cognito
- Menandatangani permintaan untuk Layanan AWS
-
Menandatangani API permintaan untuk Layanan AWS menyukai Amazon Simple Storage Service (Amazon S3) dan Amazon DynamoDB. Analisis aktivitas pengguna dengan layanan seperti Amazon Pinpoint dan Amazon. CloudWatch
- Filter permintaan dengan kebijakan berbasis sumber daya
-
Lakukan kontrol granular atas akses pengguna ke sumber daya Anda. Ubah klaim pengguna menjadi tag IAM sesi, dan buat IAM kebijakan yang memberikan akses sumber daya ke subset pengguna yang berbeda.
- Tetapkan akses tamu
-
Untuk pengguna yang belum masuk, konfigurasikan kumpulan identitas Anda untuk menghasilkan AWS kredensil dengan cakupan akses yang sempit. Mengautentikasi pengguna melalui penyedia masuk tunggal untuk meningkatkan akses mereka.
- Tetapkan IAM peran berdasarkan karakteristik pengguna
-
Tetapkan IAM peran tunggal ke semua pengguna yang diautentikasi, atau pilih peran berdasarkan klaim setiap pengguna.
- Menerima berbagai penyedia identitas
-
Tukarkan ID atau token akses, token kumpulan pengguna, SAML pernyataan, atau token penyedia sosial untuk kredensilOAuth. AWS
- Validasi identitas Anda sendiri
-
Lakukan validasi pengguna Anda sendiri dan gunakan kredensi pengembang Anda untuk mengeluarkan AWS kredensil bagi pengguna Anda.
Anda mungkin sudah memiliki kumpulan pengguna Amazon Cognito yang menyediakan layanan autentikasi dan otorisasi ke aplikasi Anda. Anda dapat mengatur kumpulan pengguna sebagai penyedia identitas (iDP) ke kumpulan identitas Anda. Ketika Anda melakukannya, pengguna Anda dapat mengautentikasi melalui kumpulan pengguna Anda IdPs, mengkonsolidasikan klaim mereka menjadi token OIDC identitas umum, dan menukar token itu dengan kredensi. AWS Pengguna Anda kemudian dapat menunjukkan kredensialnya dalam permintaan yang ditandatangani kepada Anda. Layanan AWS
Anda juga dapat mengajukan klaim yang diautentikasi dari salah satu penyedia identitas Anda langsung ke kumpulan identitas Anda. Amazon Cognito menyesuaikan klaim pengguna dariSAML,OAuth, dan OIDC penyedia menjadi AssumeRoleWithWebIdentityAPIpermintaan kredensi jangka pendek.
Kumpulan pengguna Amazon Cognito seperti penyedia OIDC identitas untuk aplikasi Anda SSO yang diaktifkan. Kumpulan identitas bertindak sebagai penyedia AWSidentitas untuk aplikasi apa pun dengan dependensi sumber daya yang paling sesuai dengan IAM otorisasi.
Kolam identitas Amazon Cognito mendukung penyedia identitas berikut:
Untuk informasi tentang ketersediaan Wilayah kolam identitas Amazon Cognito, lihat AWS Ketersediaan Wilayah Layanan
Untuk informasi selengkapnya tentang kolam identitas Amazon Cognito, lihat topik-topik berikut.
Topik
- Ikhtisar konsol kolam identitas
- Aliran otentikasi kumpulan identitas
- IAMperan
- Praktik terbaik keamanan untuk kumpulan identitas Amazon Cognito
- Menggunakan atribut untuk kontrol akses
- Menggunakan kontrol akses berbasis peran
- Mendapatkan kredensi
- Mengakses Layanan AWS dengan kredensi sementara
- Identity pool penyedia identitas pihak ketiga
- Identitas yang diautentikasi pengembang
- Mengalihkan pengguna yang tidak diautentikasi ke pengguna yang diautentikasi