Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memulai dengan kumpulan identitas Amazon Cognito
Dengan kumpulan identitas Amazon Cognito, Anda dapat membuat identitas unik dan menetapkan izin untuk pengguna. Kumpulan identitas Anda dapat membawa identitas dari jenis layanan otentikasi berikut:
-
Pengguna di pangkalan pengguna Amazon Cognito
-
Pengguna yang melakukan autentikasi dengan penyedia identitas eksternal seperti Facebook, Google, Apple, OIDC atau penyedia SAML identitas.
-
Pengguna yang diautentikasi melalui proses autentikasi yang selama ini Anda gunakan
Setelah pengguna mengautentikasi dengan penyedia mereka dan memberikan otorisasi ke kumpulan identitas, mereka mendapatkan kredensi sementara AWS . Kredensi pengguna memiliki izin yang Anda tentukan untuk akses ke orang lain. Layanan AWS
Topik
Buat kumpulan identitas di Amazon Cognito
Anda dapat membuat kumpulan identitas melalui konsol Amazon Cognito, atau Anda dapat menggunakan AWS Command Line Interface (CLI) atau Amazon Cognito. APIs Prosedur berikut adalah panduan umum untuk membuat kumpulan identitas baru di konsol. Anda juga dapat langsung melompat ke konsol
Untuk membuat kolam identitas baru di konsol
-
Masuk ke konsol Amazon Cognito
dan pilih Identity pool. -
Pilih Buat kumpulan identitas.
-
Di Konfigurasi kepercayaan kumpulan identitas, pilih untuk menyiapkan kumpulan identitas Anda untuk akses Terautentikasi, akses Tamu, atau keduanya.
-
Jika Anda memilih Akses yang diautentikasi, pilih satu atau beberapa jenis Identitas yang ingin Anda tetapkan sebagai sumber identitas yang diautentikasi di kumpulan identitas Anda. Jika mengonfigurasi penyedia pengembang Kustom, Anda tidak dapat memodifikasi atau menghapusnya setelah membuat kumpulan identitas.
-
-
Di Konfigurasi izin, pilih IAM peran default untuk pengguna yang diautentikasi atau tamu di kumpulan identitas Anda.
-
Pilih untuk Membuat IAM peran baru jika Anda ingin Amazon Cognito membuat peran baru untuk Anda dengan izin dasar dan hubungan kepercayaan dengan kumpulan identitas Anda. Masukkan nama IAM peran untuk mengidentifikasi peran baru Anda, misalnya
myidentitypool_authenticatedrole
. Pilih Lihat dokumen kebijakan untuk meninjau izin yang akan ditetapkan Amazon Cognito ke peran baru Anda. IAM -
Anda dapat memilih untuk Menggunakan IAM peran yang ada jika Anda sudah memiliki peran Akun AWS yang ingin Anda gunakan. Anda harus mengonfigurasi kebijakan kepercayaan IAM peran Anda untuk disertakan
cognito-identity.amazonaws.com
. Konfigurasikan kebijakan kepercayaan peran Anda agar hanya mengizinkan Amazon Cognito mengambil peran saat menampilkan bukti bahwa permintaan tersebut berasal dari pengguna yang diautentikasi di kumpulan identitas spesifik Anda. Untuk informasi selengkapnya, lihat Kepercayaan peran dan izin.
-
-
Di Connect identity providers, masukkan detail penyedia identitas (IdPs) yang Anda pilih di Configure identity pool trust. Anda mungkin diminta untuk memberikan informasi klien OAuth aplikasi, memilih kumpulan pengguna Amazon Cognito, memilih IAM iDP, atau memasukkan pengenal khusus untuk penyedia pengembang.
-
Pilih pengaturan Peran untuk setiap IDP. Anda dapat menetapkan pengguna dari IDP tersebut peran Default yang Anda atur saat mengonfigurasi peran Terautentikasi, atau Anda dapat Memilih peran dengan aturan. Dengan IdP kumpulan pengguna Amazon Cognito, Anda juga dapat Memilih peran dengan preferred_role dalam token. Untuk informasi lebih lanjut tentang
cognito:preferred_role
klaim, lihatMenetapkan nilai prioritas ke grup.-
Jika Anda memilih Pilih peran dengan aturan, masukkan Klaim sumber dari autentikasi pengguna Anda, Operator yang ingin Anda bandingkan dengan klaim, Nilai yang akan menyebabkan kecocokan dengan pilihan peran ini, dan Peran yang ingin Anda tetapkan saat penetapan Peran cocok. Pilih Tambahkan yang lain untuk membuat aturan tambahan berdasarkan kondisi yang berbeda.
-
Pilih Resolusi Peran. Jika klaim pengguna tidak sesuai dengan aturan, Anda dapat menolak kredensi atau mengeluarkan kredensi untuk peran yang Diautentikasi.
-
-
Konfigurasikan Atribut untuk kontrol akses untuk setiap IDP. Atribut untuk kontrol akses memetakan klaim pengguna ke tag utama yang diterapkan Amazon Cognito untuk sesi sementara mereka. Anda dapat membuat IAM kebijakan untuk memfilter akses pengguna berdasarkan tag yang Anda terapkan pada sesi mereka.
-
Untuk tidak menerapkan tag utama, pilih Tidak aktif.
-
Untuk menerapkan tag utama berdasarkan
sub
danaud
klaim, pilih Gunakan pemetaan default. -
Untuk membuat skema atribut kustom Anda sendiri ke tag utama, pilih Gunakan pemetaan khusus. Kemudian masukkan kunci Tag yang ingin Anda sumber dari setiap Klaim yang ingin Anda wakili dalam tag.
-
-
-
Di Konfigurasi properti, masukkan Nama di bawah nama kumpulan Identitas.
-
Di bawah Autentikasi dasar (klasik), pilih apakah Anda ingin Aktifkan aliran dasar. Dengan aliran dasar aktif, Anda dapat melewati pilihan peran yang dibuat untuk Anda IdPs dan menelepon AssumeRoleWithWebIdentitysecara langsung. Untuk informasi selengkapnya, lihat Aliran otentikasi kumpulan identitas.
-
Di bawah Tag, pilih Tambahkan tag jika Anda ingin menerapkan tag ke kumpulan identitas Anda.
-
Di Tinjau dan buat, konfirmasikan pilihan yang Anda buat untuk kumpulan identitas baru Anda. Pilih Edit untuk kembali ke wizard dan mengubah pengaturan apa pun. Setelah selesai, pilih Buat kumpulan identitas.
Siapkan SDK
Untuk menggunakan kumpulan identitas Amazon Cognito, siapkan, file AWS Amplify AWS SDK for Java, atau file. AWS SDK for .NET Untuk informasi selengkapnya, lihat topik berikut.
-
Menyiapkan SDK untuk JavaScript di Panduan AWS SDK for JavaScript Pengembang
-
Amplify Dokumentasi
di Amplify Dev Center -
Penyedia kredensi Amazon Cognito di Panduan Pengembang AWS SDK for .NET
Integrasikan penyedia identitas
Kumpulan identitas Amazon Cognito (identitas federasi) mendukung otentikasi pengguna melalui kumpulan pengguna Amazon Cognito, penyedia identitas federasi—termasuk Amazon, Facebook, Google, Apple, dan penyedia identitas—dan identitas yang tidak diautentikasi. SAML Fitur ini juga mendukungIdentitas yang diautentikasi pengembang, yang memungkinkan Anda mendaftar dan mengautentikasi pengguna melalui proses otentikasi backend Anda sendiri.
Untuk belajar lebih lanjut tentang menggunakan kolam pengguna Amazon Cognito dalam membuat direktori pengguna Anda sendiri, lihat Kolam pengguna Amazon Cognito dan Mengakses Layanan AWS menggunakan kumpulan identitas setelah masuk.
Untuk belajar selengkapnya tentang penggunaan penyedia identitas eksternal, lihat Identity pool penyedia identitas pihak ketiga.
Untuk mempelajari lebih lanjut tentang mengintegrasikan proses otentikasi backend Anda sendiri, lihat. Identitas yang diautentikasi pengembang
Dapatkan kredensialnya
Kumpulan identitas Amazon Cognito menyediakan AWS kredensi sementara untuk pengguna yang merupakan tamu (tidak diautentikasi) dan untuk pengguna yang telah mengautentikasi dan menerima token. Dengan AWS kredensi tersebut, aplikasi Anda dapat mengakses backend dengan aman di dalam atau AWS di luar melalui Amazon Gateway. AWS API Lihat Mendapatkan kredensi.