ID プール (フェデレーティッド ID) の使用 - Amazon Cognito

ID プール (フェデレーティッド ID) の使用

重要

現在、Amazon Cognito ユーザープールの新しいコンソールに移行した場合でも、元のコンソールで Amazon Cognito ID プールを設定する必要があります。新しいコンソールで、[フェデレーティッドアイデンティティ] を選択して、ID プールコンソールに移動します。

Amazon Cognito ID プールは、ゲストユーザー (未認証)、および認証されてトークンを受け取ったユーザーに一時的な AWS 認証情報を提供します。ID プールはアカウントに固有のユーザー ID データのストアです。

コンソールで新しい ID プールを作成する

  1. Amazon Cognito コンソールにサインインし、[Manage identity pools] (ID プールの管理) をクリックしてから [Create new identity pool] (新しい ID プールの作成) をクリックします。

  2. ID プールの名前を入力します。

  3. 認証されていない ID を有効にするには、折りたたみ可能な [Unauthenticated identities] (認証されていない ID) セクションの [Enable access to unauthenticated identities] (認証されていない ID に対してアクセスを有効にする) を選択します。

  4. 必要に応じて、[Authentication providers] (認証プロバイダー) セクションで認証プロバイダーを設定します。

  5. [Create Pool] (プールの作成) を選択します。

    注記

    有効な ID プールには、少なくとも 1 つのアイデンティティが必要です。

  6. AWS リソースへのアクセスに関するプロンプトが表示されます。

    [Allow] (許可) を選択して、ID プールに関連付けられた 2 つのデフォルトロール (1 つは認証されていないユーザー用、もう 1 つは認証されたユーザー用) を作成します。これらのデフォルトのロールは、ID プールに Amazon Cognito Sync へのアクセス権を提供します。ID プールに関連付けられたロールは、IAM コンソールで変更できます。Amazon Cognito コンソールでの作業に関する追加の手順については、「Amazon Cognito コンソールの使用」を参照してください。

ユーザー IAM ロール

IAM ロールは、ユーザーが AWS といった Amazon Cognito Sync リソースにアクセスするための許可を定義します。アプリケーションのユーザーは、作成されたロールを引き受けます。認証されたユーザーと認証されていないユーザー用に、異なるロールを指定できます。IAM ロールの詳細については、「IAM ロール」を参照してください。

認証された ID と認証されていない ID

Amazon Cognito ID プールは、認証された ID と認証されていない ID の両方をサポートします。認証された ID は任意のサポートされている認証プロバイダーで認証されたユーザーに属します。通常、認証されていない ID はゲストユーザーに属します。

認証されていない ID を有効または無効にする

Amazon Cognito ID プールでは、ID プロバイダーによる認証を行わないユーザーに対して、固有の識別子と AWS 認証情報を提供することによって、認証されていない ID をサポートすることが可能です。アプリケーションで、ログインしないユーザーを許可している場合、認証されていない ID 用にアクセスを有効にできます。詳細については、「Amazon Cognito ID プール (フェデレーティッド ID) の使用開始方法」を参照してください。

Amazon Cognito コンソール[Manage identity pools] (ID プールの管理) をクリックします。

  1. 認証されていない ID を有効または無効にする ID プールの名前を選択します。ID プールの [Dashboard] (ダッシュボード) ページが表示されます。

  2. ダッシュボードページの右上にある、[Edit identity pool] (ID プールの編集) をクリックします。[Edit identity pool] (ID プールの編集) ページが表示されます。

  3. 下にスクロールし、認証されていない ID を選択しそれを展開します。

  4. 認証されていない ID へのアクセスを有効または無効にするチェックボックスをオンにします。

  5. [Save Changes] (変更を保存) をクリックします。

ID の種類に関連付けられたロールを変更する

ID プールのすべての ID は、認証されているか、認証されていないかのいずれかです。認証された ID は、パブリックログインプロバイダー (Amazon Cognito ユーザープール、Login with Amazon、「Apple でサインイン」、Facebook、Google、SAML、または任意の OpenID Connect プロバイダー)、またはデベロッパープロバイダー (独自のバックエンド認証プロセス) によって認証されたユーザーに属します。通常、認証されていない ID はゲストユーザーに属します。

各 ID の種類について、割り当てられたロールがあります。このロールには、ロールがアクセスできる AWS のサービス を決定するポリシーがアタッチされています。リクエストを受け取った Amazon Cognito は、ID タイプとその ID タイプに割り当てられたロールを判別し、そのロールにアタッチされたポリシーを使用して応答を返します。ポリシーを変更する、または ID タイプに異なるロールを割り当てることによって、ID タイプがアクセスできる AWS のサービス を制御できます。ID プールのロールに関連付けられたポリシーの表示または変更については、「AWS IAM コンソール」を参照してください。

ID タイプに関連付けられているロールは、Amazon Cognito ID プール (フェデレーティッド ID) コンソールを使用して変更できます。Amazon Cognito コンソール[Manage identity pools] (ID プールの管理) をクリックします。

  1. ロールを変更する ID プールの名前を選択します。ID プールの [Dashboard] (ダッシュボード) ページが表示されます。

  2. ダッシュボードページの右上にある、[Edit identity pool] (ID プールの編集) をクリックします。[Edit identity pool] (ID プールの編集) ページが表示されます。

  3. [Unauthenticated role] (認証されていないロール) と [Authenticated role] (認証されたロール) の横にあるドロップダウンメニューを使用して、ロールを変更します。[Create new role] (新しいロールの作成) をクリックして、AWS IAM コンソールで各 ID タイプに関連付けられたロールを作成または変更します。詳細については、「IAM ロール」を参照してください。

認証プロバイダーを有効にする、または編集する

パブリック ID プロバイダー (Amazon Cognito ユーザープール、Login with Amazon、Apple でサインイン、Facebook、Google など) を使用した認証をユーザーに許可している場合は、Amazon Cognito ID プール (フェデレーティッド ID) のコンソールでアプリケーション識別子を指定できます。これにより、アプリケーション ID (パブリックログインプロバイダーによって提供) が ID プールに関連付けられます。

このページからプロバイダーごとの認証ルールを設定することもできます。プロバイダーごとに、最大 25 個のルールを割り当てることができます。ルールは、プロバイダーごとに保存した順序で適用されます。詳細については、「ロールベースアクセスコントロール」を参照してください。

警告

ID プールがリンクされたアプリケーション ID を変更すると、その ID プールによる既存ユーザーの認証が無効になります。詳細情報 ID プール (フェデレーティッドアイデンティティ) 外部 ID プロバイダー.

Amazon Cognito コンソール[Manage identity pools] (ID プールの管理) をクリックします。

  1. 外部プロバイダーを有効にする ID プールの名前を選択します。ID プールの [Dashboard] (ダッシュボード) ページが表示されます。

  2. ダッシュボードページの右上にある、[Edit identity pool] (ID プールの編集) をクリックします。[Edit identity pool] (ID プールの編集) ページが表示されます。

  3. 下にスクロールし、認証プロバイダーを選択して展開します。

  4. 適切なプロバイダーのタブを選択し、その認証プロバイダーに関連する必要な情報を入力します。

ID プールを削除する

Amazon Cognito コンソール[Manage identity pools] (ID プールの管理) をクリックします。

  1. 削除する ID プールの名前を選択します。ID プールの [Dashboard] (ダッシュボード) ページが表示されます。

  2. ダッシュボードページの右上にある、[Edit identity pool] (ID プールの編集) をクリックします。[Edit identity pool] (ID プールの編集) ページが表示されます。

  3. 下にスクロールし、[Delete identity pool] (ID プールno削除) をクリックして展開します。

  4. 削除する ID プールを選択します。

  5. [Delete pool] (プールの削除) をクリックします。

警告

[Delete] (削除) ボタンをクリックすると、ID プールと、それに含まれているすべてのユーザーデータが完全に削除されます。ID プールを削除すると、その ID プールを利用しているアプリケーションや他のサービスは動作を停止します。

ID プールから ID を削除する

Amazon Cognito コンソール[Manage identity pools] (ID プールの管理) をクリックします。

  1. 削除する ID を含む ID プールの名前を選択します。ID プールの [Dashboard] (ダッシュボード) ページが表示されます。

  2. ダッシュボードページの左側にあるナビゲーションで、[Identity browser] (ID ブラウザ) をクリックします。[ID] ページが表示されます。

  3. [Identities] (識別子) ページで、削除する識別子 ID を入力し、[Search] (検索) をクリックします。

  4. [Identity details] (ID の詳細) ページで、[Delete identity] (ID の削除) ボタンをクリックした後、[Delete] (削除) をクリックします。