Amazon Cognito アイデンティティプール - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Cognito アイデンティティプール

Amazon Cognito アイデンティティプールは、 AWS  認証情報と交換できるフェデレーションアイデンティティのディレクトリです。ID プールは、ユーザーがサインインしているか、まだ識別していないかにかかわらず、アプリケーションのユーザーに一時的な AWS 認証情報を生成します。 AWS Identity and Access Management (IAM) ロールとポリシーでは、ユーザーに付与するアクセス許可のレベルを選択できます。ユーザーはゲストとしてスタートし、 AWS のサービス で保管しているアセットを取得できます。その後、サードパーティー ID プロバイダーにサインインして、登録メンバーに提供したアセットへのアクセスをロック解除できます。サードパーティーの ID プロバイダーには、Apple や Google などのコンシューマー (ソーシャル) OAuth 2.0 プロバイダー、カスタム SAML または OIDC ID プロバイダー、またはお客様が独自に設計したカスタム認証スキーム (開発者プロバイダーとも呼ばれます) があります。

Amazon Cognito アイデンティティプールの機能
のリクエストに署名する AWS のサービス

Amazon Simple Storage Service (Amazon S3) や Amazon DynamoDB AWS のサービス と同様に、 に API リクエストに署名します。 DynamoDB Amazon Pinpoint や Amazon などのサービスを使用してユーザーアクティビティを分析します CloudWatch。

リソースベースのポリシーを使用してリクエストをフィルタリングする

リソースへのユーザーアクセスをきめ細かに制御します。ユーザークレームを IAMセッションタグに変換し、ユーザーの個別のサブセットにリソースアクセスを許可する IAM ポリシーを構築します。

ゲストアクセスを割り当てる

まだサインインしていないユーザーの場合は、アクセス範囲の狭い  AWS  認証情報を生成するようにアイデンティティプールを設定します。シングルサインオンプロバイダーを通じてユーザーを認証し、アクセスを強化します。

ユーザーの特性に基づいて IAM ロールを割り当てる

認証されたすべてのユーザーに 1 つの IAM ロールを割り当てるか、各ユーザーのリクエストに基づいてロールを選択します。

さまざまな ID プロバイダーを受け入れる

ID またはアクセストークン、ユーザープールトークン、SAML アサーション、またはソーシャルプロバイダーの OAuth トークンを AWS 認証情報と交換します。

自分のアイデンティティを検証する

独自のユーザー検証を実行し、開発者の AWS 認証情報を使用してユーザーの認証情報を発行します。

アプリに認証および承認サービスを提供する Amazon Cognito ユーザープールがすでにある場合があります。ユーザープールは ID プロバイダー (IdP) としてユーザープールに設定できます。これを行うと、ユーザーはユーザープール を介して認証し IdPs、そのクレームを共通の OIDC ID トークンに統合して、そのトークンを AWS 認証情報と交換できます。その後、ユーザーは署名付きのリクエストで認証情報を  AWS のサービス に提示できます。

また、任意の ID プロバイダーからの認証済みクレームをアイデンティティプールに直接提示することもできます。Amazon Cognito は、SAML、OAuth、および OIDC プロバイダーからのユーザークレームを、短期認証情報の AssumeRoleWithWebIdentity API リクエストにカスタマイズします。

Amazon Cognito ユーザープールは、SSO 対応アプリケーションの OIDC ID プロバイダーのようなものです。アイデンティティプールは、IAM 認証に最も適したリソース依存関係を持つすべてのアプリの AWS ID プロバイダーとして機能します。

Amazon Cognito ID プールは、以下の ID プロバイダーをサポートします。

Amazon Cognito ID プールを利用できるリージョンの詳細については、「AWS リージョン別のサービス」を参照してください。

Amazon Cognito ID プールの詳細については、以下のトピックを参照してください。