Ikhtisar konsol kolam identitas

Kumpulan identitas Amazon Cognito menyediakan AWS kredensi sementara untuk pengguna yang merupakan tamu (tidak diautentikasi) dan untuk pengguna yang telah diautentikasi dan menerima token. Identity pool adalah penyimpan pengenal pengguna yang ditautkan ke penyedia identitas eksternal Anda.

Salah satu cara untuk memahami fitur dan opsi kumpulan identitas adalah dengan membuatnya di konsol Amazon Cognito. Anda dapat menjelajahi efek pengaturan yang berbeda pada alur autentikasi, kontrol akses berbasis peran dan atribut, serta akses tamu. Dari sana, Anda dapat melanjutkan ke bab-babnya selanjutnya dalam panduan ini dan menambahkan komponen yang sesuai ke aplikasi Anda sehingga Anda dapat menerapkan otentikasi kumpulan identitas.

Buat kumpulan identitas

Untuk membuat kolam identitas baru di konsol

1. Masuk ke konsol Amazon Cognito dan pilih Identity pool.

2. Pilih Buat kumpulan identitas.

3. Di Konfigurasi kepercayaan kumpulan identitas, pilih untuk menyiapkan kumpulan identitas Anda untuk akses Terautentikasi, akses Tamu, atau keduanya.

   1. Jika Anda memilih Akses yang diautentikasi, pilih satu atau beberapa jenis Identitas yang ingin Anda tetapkan sebagai sumber identitas yang diautentikasi di kumpulan identitas Anda. Jika mengonfigurasi penyedia pengembang Kustom, Anda tidak dapat memodifikasi atau menghapusnya setelah membuat kumpulan identitas.

4. Di Konfigurasi izin, pilih IAM peran default untuk pengguna yang diautentikasi atau tamu di kumpulan identitas Anda.

   1. Pilih untuk Membuat IAM peran baru jika Anda ingin Amazon Cognito membuat peran baru untuk Anda dengan izin dasar dan hubungan kepercayaan dengan kumpulan identitas Anda. Masukkan nama IAM peran untuk mengidentifikasi peran baru Anda, misalnyamyidentitypool_authenticatedrole. Pilih Lihat dokumen kebijakan untuk meninjau izin yang akan ditetapkan Amazon Cognito ke peran baru Anda. IAM

   2. Anda dapat memilih untuk Menggunakan IAM peran yang ada jika Anda sudah memiliki peran Akun AWS yang ingin Anda gunakan. Anda harus mengonfigurasi kebijakan kepercayaan IAM peran Anda untuk disertakancognito-identity.amazonaws.com. Konfigurasikan kebijakan kepercayaan peran Anda agar hanya mengizinkan Amazon Cognito mengambil peran saat menampilkan bukti bahwa permintaan tersebut berasal dari pengguna yang diautentikasi di kumpulan identitas spesifik Anda. Untuk informasi selengkapnya, lihat Kepercayaan peran dan izin.

5. Di Connect identity providers, masukkan detail penyedia identitas (IdPs) yang Anda pilih di Configure identity pool trust. Anda mungkin diminta untuk memberikan informasi klien OAuth aplikasi, memilih kumpulan pengguna Amazon Cognito, memilih IAM iDP, atau memasukkan pengenal khusus untuk penyedia pengembang.

   1. Pilih pengaturan Peran untuk setiap IDP. Anda dapat menetapkan pengguna dari IDP tersebut peran Default yang Anda atur saat mengonfigurasi peran Terautentikasi, atau Anda dapat Memilih peran dengan aturan. Dengan IdP kumpulan pengguna Amazon Cognito, Anda juga dapat Memilih peran dengan preferred_role dalam token. Untuk informasi lebih lanjut tentang cognito:preferred_role klaim, lihatMenetapkan nilai prioritas ke grup.

      1. Jika Anda memilih Pilih peran dengan aturan, masukkan Klaim sumber dari autentikasi pengguna Anda, Operator yang ingin Anda bandingkan dengan klaim, Nilai yang akan menyebabkan kecocokan dengan pilihan peran ini, dan Peran yang ingin Anda tetapkan saat penetapan Peran cocok. Pilih Tambahkan yang lain untuk membuat aturan tambahan berdasarkan kondisi yang berbeda.

      2. Pilih Resolusi Peran. Jika klaim pengguna tidak sesuai dengan aturan, Anda dapat menolak kredensional atau mengeluarkan kredensi untuk peran Terautentikasi Anda.

   2. Konfigurasikan Atribut untuk kontrol akses untuk setiap IDP. Atribut untuk kontrol akses memetakan klaim pengguna ke tag utama yang diterapkan Amazon Cognito untuk sesi sementara mereka. Anda dapat membuat IAM kebijakan untuk memfilter akses pengguna berdasarkan tag yang Anda terapkan pada sesi mereka.

      1. Untuk tidak menerapkan tag utama, pilih Tidak aktif.

      2. Untuk menerapkan tag utama berdasarkan sub dan aud klaim, pilih Gunakan pemetaan default.

      3. Untuk membuat skema atribut kustom Anda sendiri ke tag utama, pilih Gunakan pemetaan khusus. Kemudian masukkan kunci Tag yang ingin Anda sumber dari setiap Klaim yang ingin Anda wakili dalam tag.

6. Di Konfigurasi properti, masukkan Nama di bawah nama kumpulan Identitas.

7. Di bawah Autentikasi dasar (klasik), pilih apakah Anda ingin Aktifkan aliran dasar. Dengan aliran dasar aktif, Anda dapat melewati pilihan peran yang dibuat untuk Anda IdPs dan menelepon AssumeRoleWithWebIdentitysecara langsung. Untuk informasi selengkapnya, lihat Aliran otentikasi kumpulan identitas.

8. Di bawah Tag, pilih Tambahkan tag jika Anda ingin menerapkan tag ke kumpulan identitas Anda.

9. Di Tinjau dan buat, konfirmasikan pilihan yang Anda buat untuk kumpulan identitas baru Anda. Pilih Edit untuk kembali ke wizard dan mengubah pengaturan apa pun. Setelah selesai, pilih Buat kumpulan identitas.

IAMPeran pengguna

IAMPeran menentukan izin bagi pengguna Anda untuk mengakses AWS sumber daya, seperti. Amazon Cognito Sync Pengguna aplikasi Anda akan mengambil peran yang Anda buat. Anda dapat menentukan peran yang berbeda untuk pengguna yang terautentikasi dan tidak terautentikasi. Untuk mempelajari lebih lanjut tentang IAM peran, lihatIAMperan.

Identitas yang diautentikasi dan tidak diautentikasi

Kolam identitas Amazon Cognito mendukung identitas terautetikasi dan tidak terautentikasi. Identitas terautentikasi adalah milik pengguna yang diautentikasi oleh penyedia identitas yang didukung. Identitas yang tidak diautentikasi umumnya adalah milik pengguna tamu.

• Untuk mengkonfigurasi identitas terautentikasi dengan penyedia login publik, lihat Identity pool penyedia identitas pihak ketiga.

• Untuk mengkonfigurasi proses autentikasi backend Anda sendiri, lihat Identitas yang diautentikasi pengembang.

Aktifkan atau nonaktifkan akses tamu

Identitas Amazon Cognito pool akses tamu (identitas tidak diautentikasi) menyediakan pengenal dan AWS kredensi unik untuk pengguna yang tidak mengautentikasi dengan penyedia identitas. Jika aplikasi Anda mengizinkan pengguna yang tidak masuk, Anda dapat mengaktifkan akses untuk identitas yang tidak diautentikasi. Untuk mempelajari selengkapnya, lihat Memulai dengan kumpulan identitas Amazon Cognito.

Untuk memperbarui akses tamu di kolam identitas

1. Pilih kumpulan Identitas dari konsol Amazon Cognito. Pilih kumpulan identitas.

2. Pilih tab Akses pengguna.

3. Temukan akses Tamu. Di kumpulan identitas yang saat ini tidak mendukung akses tamu, Status Tidak Aktif.

   1. Jika akses Tamu Aktif dan Anda ingin menonaktifkannya, pilih Nonaktifkan.

   2. Jika akses Tamu Tidak Aktif dan Anda ingin mengaktifkannya, pilih Edit.

      1. Pilih IAM peran default untuk pengguna tamu di kumpulan identitas Anda.

         1. Pilih untuk Membuat IAM peran baru jika Anda ingin Amazon Cognito membuat peran baru untuk Anda dengan izin dasar dan hubungan kepercayaan dengan kumpulan identitas Anda. Masukkan nama IAM peran untuk mengidentifikasi peran baru Anda, misalnyamyidentitypool_authenticatedrole. Pilih Lihat dokumen kebijakan untuk meninjau izin yang akan ditetapkan Amazon Cognito ke peran baru Anda. IAM

         2. Anda dapat memilih untuk Menggunakan IAM peran yang ada jika Anda sudah memiliki peran Akun AWS yang ingin Anda gunakan. Anda harus mengonfigurasi kebijakan kepercayaan IAM peran Anda untuk disertakancognito-identity.amazonaws.com. Konfigurasikan kebijakan kepercayaan peran Anda agar hanya mengizinkan Amazon Cognito mengambil peran saat menampilkan bukti bahwa permintaan tersebut berasal dari pengguna yang diautentikasi di kumpulan identitas spesifik Anda. Untuk informasi selengkapnya, lihat Kepercayaan peran dan izin.

         3. Pilih Simpan perubahan.

         4. Untuk mengaktifkan akses tamu, pilih Aktifkan di tab Akses pengguna.

Mengubah peran yang terkait dengan jenis identitas

Setiap identitas di kolam identitas Anda dikategorikan sebagai diautentikasi atau tidak diautentikasi. Identitas yang diautentikasi adalah milik pengguna yang diautentikasi oleh penyedia login publik (kumpulan pengguna Amazon Cognito, Login with Amazon, Masuk dengan Apple, Facebook, Google, atau Penyedia OpenID Connect SAML apa pun) atau penyedia pengembang (proses otentikasi backend Anda sendiri). Identitas yang tidak diautentikasi umumnya adalah milik pengguna tamu.

Untuk setiap jenis identitas, terdapat peran yang ditetapkan. Peran ini memiliki kebijakan yang melekat padanya yang menentukan peran mana Layanan AWS yang dapat diakses. Saat Amazon Cognito menerima permintaan, layanan akan menentukan jenis identitas, menentukan peran yang ditetapkan ke jenis identitas tersebut, dan menggunakan kebijakan yang dilampirkan pada peran tersebut untuk merespons. Dengan memodifikasi kebijakan atau menetapkan peran yang berbeda ke tipe identitas, Anda dapat mengontrol tipe identitas mana Layanan AWS yang dapat diakses. Untuk melihat atau mengubah kebijakan yang terkait dengan peran di kumpulan identitas Anda, lihat AWS IAMKonsol.

Untuk mengubah kumpulan identitas peran default yang diautentikasi atau tidak diautentikasi

1. Pilih kumpulan Identitas dari konsol Amazon Cognito. Pilih kumpulan identitas.

2. Pilih tab Akses pengguna.

3. Temukan akses Tamu atau Akses yang diautentikasi. Dalam kumpulan identitas yang saat ini tidak dikonfigurasi untuk jenis akses tersebut, Status Tidak Aktif. Pilih Edit.

4. Pilih IAM peran default untuk tamu atau pengguna yang diautentikasi di kumpulan identitas Anda.

   1. Pilih untuk Membuat IAM peran baru jika Anda ingin Amazon Cognito membuat peran baru untuk Anda dengan izin dasar dan hubungan kepercayaan dengan kumpulan identitas Anda. Masukkan nama IAM peran untuk mengidentifikasi peran baru Anda, misalnyamyidentitypool_authenticatedrole. Pilih Lihat dokumen kebijakan untuk meninjau izin yang akan ditetapkan Amazon Cognito ke peran baru Anda. IAM

   2. Anda dapat memilih untuk Menggunakan IAM peran yang ada jika Anda sudah memiliki peran Akun AWS yang ingin Anda gunakan. Anda harus mengonfigurasi kebijakan kepercayaan IAM peran Anda untuk disertakancognito-identity.amazonaws.com. Konfigurasikan kebijakan kepercayaan peran Anda agar hanya mengizinkan Amazon Cognito mengambil peran saat menampilkan bukti bahwa permintaan tersebut berasal dari pengguna yang diautentikasi di kumpulan identitas spesifik Anda. Untuk informasi selengkapnya, lihat Kepercayaan peran dan izin.

5. Pilih Simpan perubahan.

Edit penyedia identitas

Jika Anda mengizinkan pengguna untuk melakukan autentikasi menggunakan penyedia identitas konsumen (misalnya, kumpulan pengguna Amazon Cognito, Login with Amazon, Masuk dengan Apple, Facebook, atau Google), Anda dapat menentukan pengenal aplikasi di konsol kumpulan identitas Amazon Cognito (identitas federasi). Ini mengaitkan ID aplikasi (disediakan oleh penyedia login publik) dengan kolam identitas Anda.

Anda juga dapat mengonfigurasi aturan autentikasi untuk setiap penyedia dari halaman ini. Setiap penyedia memberikan izin hingga 25 aturan. Aturan diterapkan dalam urutan yang Anda simpan untuk setiap penyedia. Untuk informasi selengkapnya, lihat Menggunakan kontrol akses berbasis peran.

Awas

Mengubah ID aplikasi iDP tertaut di kumpulan identitas Anda mencegah pengguna yang ada melakukan autentikasi dengan kumpulan identitas tersebut. Untuk informasi selengkapnya, lihat Identity pool penyedia identitas pihak ketiga.

Untuk memperbarui penyedia identitas pool identitas (iDP)

1. Pilih kumpulan Identitas dari konsol Amazon Cognito. Pilih kumpulan identitas.

2. Pilih tab Akses pengguna.

3. Temukan penyedia Identitas. Pilih penyedia identitas yang ingin Anda edit. Jika Anda ingin menambahkan IDP baru, pilih Tambahkan penyedia identitas.

   1. Jika Anda memilih Tambahkan penyedia identitas, pilih salah satu jenis Identitas yang ingin Anda tambahkan.

4. Untuk mengubah ID aplikasi, pilih Edit dalam informasi penyedia Identitas.

5. Untuk mengubah peran yang diminta Amazon Cognito saat mengeluarkan kredensional kepada pengguna yang telah diautentikasi dengan penyedia ini, pilih Edit di setelan Peran.

   1. Anda dapat menetapkan pengguna dari IDP tersebut peran Default yang Anda atur saat mengonfigurasi peran Terautentikasi, atau Anda dapat Memilih peran dengan aturan. Dengan IdP kumpulan pengguna Amazon Cognito, Anda juga dapat Memilih peran dengan preferred_role dalam token. Untuk informasi lebih lanjut tentang cognito:preferred_role klaim, lihatMenetapkan nilai prioritas ke grup.

      1. Jika Anda memilih Pilih peran dengan aturan, masukkan Klaim sumber dari autentikasi pengguna Anda, Operator yang ingin Anda bandingkan dengan klaim, Nilai yang akan menyebabkan kecocokan dengan pilihan peran ini, dan Peran yang ingin Anda tetapkan saat penetapan Peran cocok. Pilih Tambahkan yang lain untuk membuat aturan tambahan berdasarkan kondisi yang berbeda.

      2. Pilih Resolusi Peran. Jika klaim pengguna tidak sesuai dengan aturan, Anda dapat menolak kredensional atau mengeluarkan kredensi untuk peran Terautentikasi Anda.

6. Untuk mengubah tag utama yang ditetapkan Amazon Cognito saat mengeluarkan kredensional kepada pengguna yang telah diautentikasi dengan penyedia ini, pilih Edit di Atribut untuk kontrol akses.

   1. Untuk tidak menerapkan tag utama, pilih Tidak aktif.

   2. Untuk menerapkan tag utama berdasarkan sub dan aud klaim, pilih Gunakan pemetaan default.

   3. Untuk membuat skema atribut kustom Anda sendiri ke tag utama, pilih Gunakan pemetaan khusus. Kemudian masukkan kunci Tag yang ingin Anda sumber dari setiap Klaim yang ingin Anda wakili dalam tag.

7. Pilih Simpan perubahan.

Menghapus kumpulan identitas

Anda tidak dapat membatalkan penghapusan kumpulan identitas. Setelah Anda menghapus kumpulan identitas, semua aplikasi dan pengguna yang bergantung padanya berhenti berfungsi.

Untuk menghapus kolam identitas

1. Pilih kumpulan Identitas dari konsol Amazon Cognito. Pilih tombol radio di sebelah kumpulan identitas yang ingin Anda hapus.

2. Pilih Hapus.

3. Masukkan atau tempel nama kumpulan identitas Anda dan pilih Hapus.

Awas

Ketika Anda memilih tombol Hapus, Anda akan menghapus kumpulan identitas Anda secara permanen dan semua data pengguna yang dikandungnya. Menghapus kumpulan identitas akan menyebabkan aplikasi dan layanan lain yang menggunakan kumpulan identitas berhenti bekerja.

Menghapus identitas dari kumpulan identitas

Saat menghapus identitas dari kumpulan identitas, Anda menghapus informasi identifikasi yang disimpan Amazon Cognito untuk pengguna federasi tersebut. Ketika pengguna Anda meminta kredensi lagi, mereka menerima ID identitas baru jika kumpulan identitas Anda masih mempercayai penyedia identitas mereka. Anda tidak dapat membatalkan operasi ini.

Untuk menghapus identitas

1. Pilih kumpulan Identitas dari konsol Amazon Cognito. Pilih kumpulan identitas.

2. Pilih tab Identity Browser.

3. Pilih kotak centang di samping identitas yang ingin Anda hapus dan pilih Hapus. Konfirmasikan bahwa Anda ingin menghapus identitas dan pilih Hapus.

Menggunakan Amazon Cognito Sync dengan kumpulan identitas

Amazon Cognito Sync adalah pustaka Layanan AWS dan klien yang memungkinkan untuk menyinkronkan data pengguna terkait aplikasi di seluruh perangkat. Amazon Cognito Sync dapat menyinkronkan data profil pengguna di seluruh perangkat seluler dan web tanpa menggunakan backend Anda sendiri. Pustaka klien menyimpan data secara lokal sehingga aplikasi Anda dapat membaca dan menulis data terlepas dari status konektivitas perangkat. Saat perangkat online, Anda dapat menyinkronkan data. Jika Anda mengatur sinkronisasi push, Anda dapat segera memberi tahu perangkat lain bahwa pembaruan tersedia.

Mengelola kumpulan data

Jika Anda telah menerapkan fungsionalitas Amazon Cognito Sync di aplikasi Anda, konsol kumpulan identitas Amazon Cognito memungkinkan Anda membuat dan menghapus kumpulan data dan catatan untuk identitas individual secara manual. Perubahan apa pun yang Anda buat pada kumpulan data atau catatan identitas di konsol kumpulan identitas Amazon Cognito tidak akan disimpan hingga Anda memilih Sinkronisasi di konsol. Perubahan tidak terlihat oleh pengguna akhir hingga identitas memanggil Sinkronisasi. Data yang disinkronkan dari perangkat lain untuk identitas individual akan terlihat setelah Anda menyegarkan halaman kumpulan data daftar untuk identitas tertentu.

Membuat dataset untuk identitas

Amazon Cognito Sync mengaitkan kumpulan data dengan satu identitas. Anda dapat mengisi kumpulan data Anda dengan mengidentifikasi informasi tentang pengguna yang diwakili oleh identitas, lalu menyinkronkan informasi tersebut ke semua perangkat pengguna Anda.

Untuk menambahkan dataset dan catatan dataset ke identitas

1. Pilih kumpulan Identitas dari konsol Amazon Cognito. Pilih kumpulan identitas.

2. Pilih tab Identity Browser.

3. Pilih identitas yang ingin Anda edit.

4. Di Datasets, pilih Create dataset.

5. Masukkan nama Dataset dan pilih Buat kumpulan data.

6. Jika Anda ingin menambahkan catatan ke kumpulan data Anda, pilih kumpulan data Anda dari detail identitas. Di Rekaman, pilih Buat catatan.

7. Masukkan Kunci dan Nilai untuk catatan Anda. Pilih Konfirmasi. Ulangi untuk menambahkan lebih banyak catatan.

Menghapus kumpulan data yang terkait dengan identitas

Untuk menghapus dataset dan catatannya dari identitas

1. Pilih kumpulan Identitas dari konsol Amazon Cognito. Pilih kumpulan identitas.

2. Pilih tab Identity Browser.

3. Pilih identitas yang berisi kumpulan data yang ingin Anda hapus.

4. Di Datasets, pilih tombol radio di sebelah dataset yang ingin Anda hapus.

5. Pilih Hapus. Tinjau pilihan Anda dan pilih Hapus lagi.

Publikasikan data massal

Publikasi massal dapat digunakan untuk mengekspor data yang sudah disimpan di toko Sinkronisasi Amazon Cognito Anda ke aliran Amazon Kinesis. Untuk memahami petunjuk tentang cara mempublikasikan semua pengaliran Anda secara massal, lihat Menerapkan aliran Amazon Cognito Sync.

Aktifkan sinkronisasi push

Amazon Cognito secara otomatis melacak hubungan antara identitas dan perangkat. Dengan menggunakan fitur push sync, Anda dapat memastikan bahwa setiap instance dari identitas yang diberikan diberi tahu saat data identitas berubah. Sinkronisasi push membuatnya sehingga, setiap kali dataset berubah untuk identitas, semua perangkat yang terkait dengan identitas tersebut menerima pemberitahuan push senyap yang memberi tahu mereka tentang perubahan tersebut.

Anda dapat mengaktifkan sinkronisasi push di konsol Amazon Cognito.

Untuk mengaktifkan sinkronisasi push

1. Pilih kumpulan Identitas dari konsol Amazon Cognito. Pilih kumpulan identitas.

2. Pilih tab Properti kolam Identity.

3. Dalam sinkronisasi push, pilih Edit

4. Pilih Aktifkan sinkronisasi push dengan kumpulan identitas Anda.

5. Pilih salah satu aplikasi Platform Amazon Simple Notification Service (AmazonSNS) yang Anda buat saat ini Wilayah AWS. Amazon Cognito menerbitkan pemberitahuan push ke aplikasi platform Anda. Pilih Buat aplikasi platform untuk menavigasi ke SNS konsol Amazon dan membuat yang baru.

6. Untuk mempublikasikan ke aplikasi platform Anda, Amazon Cognito IAM berperan dalam aplikasi Anda. Akun AWS Pilih untuk Membuat IAM peran baru jika Anda ingin Amazon Cognito membuat peran baru untuk Anda dengan izin dasar dan hubungan kepercayaan dengan kumpulan identitas Anda. Masukkan nama IAM peran untuk mengidentifikasi peran baru Anda, misalnyamyidentitypool_authenticatedrole. Pilih Lihat dokumen kebijakan untuk meninjau izin yang akan ditetapkan Amazon Cognito ke peran baru Anda. IAM

7. Anda dapat memilih untuk Menggunakan IAM peran yang ada jika Anda sudah memiliki peran Akun AWS yang ingin Anda gunakan. Anda harus mengonfigurasi kebijakan kepercayaan IAM peran Anda untuk disertakancognito-identity.amazonaws.com. Konfigurasikan kebijakan kepercayaan peran Anda agar hanya mengizinkan Amazon Cognito mengambil peran saat menampilkan bukti bahwa permintaan tersebut berasal dari pengguna yang diautentikasi di kumpulan identitas spesifik Anda. Untuk informasi selengkapnya, lihat Kepercayaan peran dan izin.

8. Pilih Simpan perubahan.

Siapkan Amazon Cognito Streams

Pengaliran Amazon Cognito memberikan developer kontrol dan wawasan terkait data mereka yang disimpan di Amazon Cognito Sync. Developer sekarang dapat mengkonfigurasi pengaliran Kinesis untuk menerima peristiwa sebagai data. Amazon Cognito dapat mendorong setiap perubahan set data ke pengaliran Kinesis yang Anda miliki secara langsung. Untuk mengetahui petunjuk tentang cara mengatur Pengaliran Amazon Cognito di konsol Amazon Cognito, lihat Menerapkan aliran Amazon Cognito Sync.

Siapkan Acara Amazon Cognito

Acara Amazon Cognito memungkinkan Anda menjalankan AWS Lambda fungsi sebagai respons terhadap peristiwa penting di Amazon Cognito Sync. Amazon Cognito Sync memunculkan peristiwa Sync Trigger ketika set data disinkronkan. Anda dapat menggunakan peristiwa Sync Trigger untuk mengambil tindakan ketika pengguna memperbarui data. Untuk mengetahui instruksi tentang menyiapkan Peristiwa Amazon Cognito dari konsol, lihat Menyesuaikan alur kerja dengan Amazon Cognito Events.

Untuk mempelajari lebih lanjut tentang AWS Lambda, lihat AWS Lambda.