Amazon Cognito ID プールの開始方法

Amazon Cognito ID プールを使用すると、一意のアイデンティティを作成し、ユーザーに許可を割り当てることができます。ID プールは、次のタイプの認証サービスから ID を取り込むことができます。

• Amazon Cognito ユーザープール内のユーザー

• Facebook、Google、Apple、OIDCまたは ID プロバイダーなどの外部 SAML ID プロバイダーで認証するユーザー。

• 独自の既存の認証プロセスによって認証されたユーザー

ユーザーがプロバイダーで認証し、アイデンティティプールに認可を提示すると、一時的な AWS 認証情報を取得します。ユーザーの認証情報には、他の にアクセスするために定義したアクセス許可があります AWS のサービス。

Amazon Cognito で ID プールを作成する

Amazon Cognito コンソールを使用して ID プールを作成するか、 AWS Command Line Interface （CLI) または Amazon Cognito を使用できますAPIs。次の手順は、コンソールで新しい ID プールを作成するための一般的なガイドです。コンソールに直接スキップして、ガイド付きエクスペリエンスとインラインヘルプコンテンツに従うこともできます。

コンソールで新しい ID プールを作成する

1. Amazon Cognito コンソールにサインインし、アイデンティティプールを選択します。

2. [ID プールを作成] を選択します。

3. [ID プールの信頼を設定] で、アイデンティティプールを認証アクセス、ゲストアクセス、またはその両方に設定することを選択します。

   1. [認証アクセス] を選択した場合、アイデンティティプールの認証済み ID のソースとして設定する ID タイプを 1 つ以上選択します。[カスタムデベロッパープロバイダー] を設定した場合、アイデンティティプールの作成後にそのプロバイダーを変更したり削除したりすることはできません。

4. アクセス許可の設定 で、ID プール内の認証済みユーザーまたはゲストユーザーのデフォルトのIAMロールを選択します。

   1. Amazon Cognito が基本的なアクセス許可と ID プールとの信頼関係を持つ新しいIAMロールを作成する場合は、新しいロールの作成を選択します。新しいIAMロールを識別するロール名を入力します。例: myidentitypool_authenticatedrole。ポリシードキュメントの表示を選択して、Amazon Cognito が新しいIAMロールに割り当てるアクセス許可を確認します。

   2. 使用するIAMロールが に既にある場合は、既存のロール AWS アカウント を使用することを選択できます。IAM ロール信頼ポリシーを を含めるように設定する必要がありますcognito-identity.amazonaws.com。リクエストが特定のアイデンティティプール内の認証されたユーザーから送信されたという証拠を提示した場合にのみ、Amazon Cognito がロールを引き継ぐことを許可するようにロールの信頼ポリシーを設定します。詳細については、「ロールの信頼とアクセス権限」を参照してください。

5. Connect ID プロバイダー で、ID プールの信頼を設定する で選択した ID プロバイダー (IdPs) の詳細を入力します。OAuth アプリケーションクライアント情報の提供、Amazon Cognito ユーザープールの選択、IAMIdP の選択、またはデベロッパープロバイダーのカスタム識別子の入力を求められる場合があります。

   1. 各 IdP の [ロール設定] を選択します。その IdP のユーザーに、認証済みロールを設定したときに設定したデフォルトロールを割り当てることも、ルール付きのロールを選択することもできます。Amazon Cognito ユーザープール IdP では、トークンに preferred_role を含むロールを選択することもできます。cognito:preferred_role クレームの詳細については、「グループへの優先順位の値の割り当て」を参照してください。

      1. [ルールを使用してロールを選択する] を選択した場合、ユーザー認証からのソースクレーム、クレームを比較するオペレータ、このロール選択と一致する値、およびロール割り当てが一致したときに割り当てるロールを入力します。別の条件に基づいて追加のルールを作成するには、[別のものを追加] を選択します。

      2. [ロールの解決] を選択します。ユーザーのクレームがルールに合わない場合は、認証情報を拒否するか、認証済みロールの認証情報を発行できます。

   2. アクセスコントロールの属性は、IdP ごとに個別に設定できます。アクセスコントロールの属性は、Amazon Cognito がユーザーの一時セッションに適用するプリンシパルタグにユーザーのクレームをマッピングします。セッションに適用するタグに基づいてユーザーアクセスをフィルタリングするIAMポリシーを構築できます。

      1. プリンシパルタグを適用しない場合は、[非アクティブ] を選択します。

      2. sub および aud クレームに基づいてプリンシパルタグを適用するには、[デフォルトマッピングを使用] を選択します。

      3. プリンシパルタグへの属性の独自のカスタムスキーマを作成するには、[カスタムマッピングを使用] を選択します。次に、タグに表示したい各クレームから取得するタグキーを入力します。

6. [プロパティの設定] の [ID プール名] に [名前] を入力します。

7. [基本 (クラシック) 認証] で、ベーシックフローを有効にするかどうかを選択します。基本的なフローをアクティブにすると、 に対して行ったロール選択をバイパス IdPs し、 AssumeRoleWithWebIdentity を直接呼び出すことができます。詳細については、「ID プールの認証フロー」を参照してください。

8. アイデンティティプールにタグを適用する場合は、[タグ] で [タグの追加] を選択します。

9. [確認および作成] で、新しいアイデンティティプールに対して行った選択を確認します。[編集] を選択してウィザードに戻り、設定を変更します。終了したら、[ID プールの作成] を選択します。

SDK のセットアップ

Amazon Cognito ID プールを使用するには、 AWS Amplify、、 AWS SDK for Java、または を設定します AWS SDK for .NET。詳細については、以下のトピックを参照してください。

• AWS SDK for JavaScript デベロッパーガイドの SDK の のセットアップ JavaScript

• Amplify Dev Center の「Amplify のドキュメント」

• AWS SDK for .NET ディベロッパーガイド の「Amazon Cognito 認証情報プロバイダー」

ID プロバイダーを統合する

Amazon Cognito ID プール (フェデレーティッド ID) は、Amazon Cognito ユーザープール、Amazon、Facebook、Google、Apple、ID プロバイダーなどのフェデレーティッド SAML ID プロバイダー、および認証されていない ID を介したユーザー認証をサポートしています。また、この機能は独自のバックエンド認証プロセスを通じてユーザーを認証し登録することができる、デベロッパーが認証した ID をサポートしています。

独自のユーザーディレクトリを作成するための Amazon Cognito ユーザープールの使用に関する詳細については、「Amazon Cognito user pools」および「サインイン後の ID プール AWS のサービス を使用したアクセス」を参照してください。

外部 ID プロバイダーについては、ID プールのサードパーティー ID プロバイダー を参照してください。

独自のバックエンド認証プロセスの統合に関する詳細については、「デベロッパーが認証した ID」を参照してください。

認証情報を取得する

Amazon Cognito アイデンティティプールは、ゲスト (認証されていない) であるユーザーと、トークンを認証して受け取ったユーザーに一時的な AWS 認証情報を提供します。これらの AWS 認証情報を使用すると、アプリケーションは Amazon API Gateway AWS AWS を介して内外のバックエンドに安全にアクセスできます。「認証情報の取得」を参照してください。