翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Cognito アイデンティティプール
Amazon Cognito アイデンティティプールは、 AWS 認証情報と交換できるフェデレーションアイデンティティのディレクトリです。ID プールは、サインインしているか、まだ識別していないかにかかわらず、アプリケーションのユーザーに一時的な AWS 認証情報を生成します。 AWS Identity and Access Management (IAM) ロールとポリシーを使用すると、ユーザーに付与するアクセス許可のレベルを選択できます。ユーザーはゲストとしてスタートし、 AWS のサービス で保管しているアセットを取得できます。その後、サードパーティー ID プロバイダーにサインインして、登録メンバーに提供したアセットへのアクセスをロック解除できます。サードパーティーの ID プロバイダーには、Apple や Google などのコンシューマー (ソーシャル) OAuth 2.0 プロバイダー、カスタム SAML または OIDC ID プロバイダー、またはお客様が独自に設計したカスタム認証スキーム (開発者プロバイダーとも呼ばれます) があります。
Amazon Cognito アイデンティティプールの機能
- のリクエストに署名する AWS のサービス
-
Amazon Simple Storage Service (Amazon S3) や Amazon DynamoDB AWS のサービス などの に API リクエストに署名します。Amazon Pinpoint や Amazon などのサービスでユーザーアクティビティを分析します CloudWatch。
- リソースベースのポリシーを使用してリクエストをフィルタリングする
-
リソースへのユーザーアクセスをきめ細かに制御します。ユーザークレームを IAMセッションタグに変換し、ユーザーの個別のサブセットにリソースアクセスを許可する IAM ポリシーを構築します。
- ゲストアクセスを割り当てる
-
まだサインインしていないユーザーの場合は、アクセス範囲の狭い AWS 認証情報を生成するようにアイデンティティプールを設定します。シングルサインオンプロバイダーを通じてユーザーを認証し、アクセスを強化します。
- ユーザーの特性に基づいて IAM ロールを割り当てる
-
認証されたすべてのユーザーに 1 つの IAM ロールを割り当てるか、各ユーザーのリクエストに基づいてロールを選択します。
- さまざまな ID プロバイダーを受け入れる
-
ID またはアクセストークン、ユーザープールトークン、SAML アサーション、またはソーシャルプロバイダーの OAuth トークンを AWS 認証情報と交換します。
- 自分のアイデンティティを検証する
-
独自のユーザー検証を実行し、デベロッパーの AWS 認証情報を使用してユーザーの認証情報を発行します。
アプリに認証および承認サービスを提供する Amazon Cognito ユーザープールがすでにある場合があります。ユーザープールは ID プロバイダー (IdP) としてユーザープールに設定できます。これを行うと、ユーザーはユーザープール を介して認証し IdPs、クレームを共通の OIDC ID トークンに統合し、そのトークンを AWS 認証情報と交換できます。その後、ユーザーは署名付きのリクエストで認証情報を AWS のサービス に提示できます。
また、任意の ID プロバイダーからの認証済みクレームをアイデンティティプールに直接提示することもできます。Amazon Cognito は、SAML、OAuth、および OIDC プロバイダーからのユーザークレームを短期認証情報の AssumeRoleWithWebIdentity API リクエストにカスタマイズします。
Amazon Cognito ユーザープールは、SSO 対応アプリケーションの OIDC ID プロバイダーのようなものです。アイデンティティプールは、IAM 認証に最も適したリソース依存関係を持つすべてのアプリの AWS ID プロバイダーとして機能します。
Amazon Cognito ID プールは、以下の ID プロバイダーをサポートします。
Amazon Cognito ID プールを利用できるリージョンの詳細については、「AWS リージョン別のサービス
Amazon Cognito ID プールの詳細については、以下のトピックを参照してください。
トピック
