ユーザープールにグループを追加する - Amazon Cognito

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

ユーザープールにグループを追加する

Amazon Cognito ユーザープールのグループのサポートにより、ユーザーの作成と管理、グループへのユーザーの追加、およびグループからのユーザーの削除が可能になります。グループを使用して、ユーザーのコレクションを作成してそのアクセス権限を管理したり、異なるタイプのユーザーを表したりできます。グループに AWS Identity and Access Management (IAM) ロールを割り当てて、グループのメンバーのアクセス権限を定義できます。

グループを使用して、ユーザープールでユーザーのコレクションを作成できます。この操作は、これらのユーザーのアクセス権限を設定するためによく行われます。たとえば、ウェブサイトやアプリの読者、寄稿者、および編集者であるユーザーに対して別個のグループを作成できます。また、グループに関連付けられた IAM ロールを使用すると、これらの異なるグループに別のアクセス権限を設定し、寄稿者のみがコンテンツを Amazon S3 に配置し、編集者のみが Amazon API Gateway. の API を通じてコンテンツを発行するようにできます。

ユーザープールのグループはAWS マネジメントコンソール、、、および CLI から作成APIsおよび管理できます。開発者として (AWS 認証情報を使用)、ユーザープールのグループを作成、読み込み、更新、削除、およびリストすることができます。また、グループに対してユーザーを追加、削除できます。

ユーザープール内のグループを使用しても追加コストは発生しません。詳細については、「 Amazon Cognito 料金表」を参照してください。

この機能は、 SpaceFinder リファレンスアプリで使用されています。

グループへの IAM ロールの割り当て

グループを使用して、IAM ロールでリソースへのアクセス許可を制御できます。IAM ロールには、信頼ポリシーとアクセス許可ポリシーが含まれます。ロールの信頼ポリシーは、ロールを使用できるユーザーを指定します。アクセス許可ポリシーは、グループメンバーがアクセスできるアクションとリソースを指定します。IAM ロールを作成するときに、グループユーザーがロールを引き受けることを許可するロールの信頼ポリシーを設定します。ロールのアクセス許可ポリシーで、グループに付与するアクセス許可を指定します。

Amazon Cognito でグループを作成するときは、ロールの ARN.を指定して IAM ロールを指定します。グループメンバーが Amazon Cognito を使用してサインインすると、ID プールから一時的な認証情報を受け取ることができます。それらのアクセス許可は、関連付けられた IAM ロールによって決まります。

各ユーザーは複数のグループに属することができます。開発者には、ユーザーが複数のグループに属している場合に IAM ロールを自動的に選択する次のオプションがあります。

  • 各グループに優先順位の値を割り当てることができます。優先順位が高い (値が低い) グループが選択され、関連付けられた IAM ロールが適用されます。

  • アプリは、ID プールを通じてユーザーのAWS認証情報をリクエストするときに、 GetCredentialsForIdentity CustomRoleARN パラメータでロール ARN を指定することで、使用可能なロールから選択することもできます。指定された IAM ロールは、ユーザーが利用できるロールに一致する必要があります。

グループへの優先順位の値の割り当て

ユーザーは複数のグループに属することができます。ユーザーの ID トークンで、cognito:groups クレームに、ユーザーが属するすべてのグループのリストが含まれます。cognito:roles クレームには、グループに対応するロールのリストが含まれます。

ユーザーは複数のグループに属することができるので、各グループに優先順位を割り当てることができます。これは、ユーザーがユーザープールで属することができるその他のグループに対するこのグループの優先順字を指定する正数です。ゼロが最優先順位値です。低い優先順位の値を持つグループは、高い優先順位の値または null 値を持つグループよりも優先されます。ユーザーが複数のグループに属している場合、こは IAM ロールがユーザーの ID トークンで cognito:preferred_role クレームに適用されている、最も優先順位の値が低いグループです。

2 つのグループは、同じ優先順位の値を持つことができます。その場合は、どちらのグループも他方に対して優先されません。同じ優先順位の値を持つ 2 つのグループのロール ARN が同じである場合、そのロールは、各グループのユーザーの ID トークンの cognito:preferred_role クレームで使用されます。2 つのグループに異なるロール がある場合ARNs、cognito:preferred_roleクレームはユーザーの ID トークンに設定されません。

グループと を使用したアクセス権限の管理Amazon API Gateway

ユーザープールのグループを使用して、 でアクセス権限を管理できます。Amazon API Gateway. ユーザーがメンバーであるグループは、ユーザーがサインインするときにユーザープールによって提供される ID トークンに含まれています。リクエストによってこれらの ID トークンを Amazon API Gateway に送信し、カスタムオーソライザー Lambda 関数を使ってトークンを検証してから、ユーザーが属しているグループを検査できます。 カスタムオーソライザーでユーザープールトークンを使用する例については、このブログ記事Amazon API Gatewayを参照してください。

グループの制限

ユーザーグループには、次の制限が適用されます。

  • 作成できるグループの数は、Amazon Cognito のサービス制限.によって制限されます。

  • グループはネストできません。

  • グループのユーザーを検索することはできません。

  • グループを名前で検索することはできませんが、グループをリストすることはできます。

  • メンバーが存在しないグループのみを削除できます。

での新しいグループの作成AWS マネジメントコンソール

[ユーザーとグループ] タブの [グループ] タブには、[グループの作成] ボタンがあります。


        ユーザーとグループタブのグループタブで、新しいグループを作成する。

[グループの作成] を選択すると、[グループの作成] フォームが表示されます。このフォームに、新しいグループに関する情報を入力します。[名前] フィールドのみが必須です。ID プールとユーザープールを統合する場合、[IAM ロール] 設定によって、ID プールがトークンからロールを選択するように設定されている場合、ユーザーの ID トークンに割り当てられるロールが決まります。既にロールを定義していない場合は、[新しいロールの作成.] を選択します。複数のグループがあり、ユーザーを複数のグループに割り当てることができる場合は、各グループの [Precedence (優先順位)] 値を設定できます。優先順位の値は正の整数である場合があります。ゼロが最優先順位値です。


        ユーザーとグループタブでグループフォームを作成する。