ID プール (フェデレーティッド ID) の使用 - Amazon Cognito
ユーザー IAM ロール認証された ID と認証されていない ID認証されていない ID を有効または無効にするID の種類に関連付けられたロールを変更する認証プロバイダーを有効にする、または編集するID プールを削除するID プールから ID を削除する

ID プール (フェデレーティッド ID) の使用

Amazon Cognito ID プールは、ゲストユーザー (未認証)、および認証されてトークンを受け取ったユーザーに一時的な AWS 認証情報を提供します。ID プールはアカウントに固有のユーザー ID データのストアです。

コンソールで新しい ID プールを作成する

  1. Amazon Cognito コンソールにサインインし、[Manage Identity Pools] (ID プールの管理) をクリックしてから [Create new identity pool] (新しい ID プールの作成) をクリックします。

  2. ID プールの名前を入力します。

  3. 認証されていない ID を有効にするには、折りたたみ可能な [Unauthenticated identities] (認証されていない ID) セクションの [Enable access to unauthenticated identities] (認証されていない ID に対してアクセスを有効にする) を選択します。

  4. 必要に応じて、[Authentication providers] (認証プロバイダー) セクションで認証プロバイダを設定します。

  5. [Create Pool] (プールの作成) を選択します。

    注記

    有効な ID プールには、少なくとも 1 つのアイデンティティが必要です。

  6. AWS リソースへのアクセスに関するプロンプトが表示されます。

    [Allow] (許可) を選択して、ID プールに関連付けられた 2 つのデフォルトロール (1 つは認証されていないユーザー用、もう 1 つは認証されたユーザー用) を作成します。これらのデフォルトのロールは、ID プールに Amazon Cognito Sync へのアクセス権を提供します。ID プールに関連付けられたロールは、IAM コンソールで変更できます。Amazon Cognito コンソールでの作業に関する追加の手順については、「Amazon Cognito コンソールの使用」を参照してください。

ユーザー IAM ロール

IAM ロールは、ユーザーが AWS といった Amazon Cognito Sync リソースにアクセスするための許可を定義します。アプリケーションのユーザーは、作成されたロールを引き受けます。認証されたユーザーと認証されていないユーザー用に、異なるロールを指定できます。IAM ロールの詳細については、「IAM ロール」を参照してください。

認証された ID と認証されていない ID

Amazon Cognito ID プールは、認証された ID と認証されていない ID の両方をサポートします。認証された ID は任意のサポートされている認証プロバイダで認証されたユーザーに属します。通常、認証されていない ID はゲストユーザーに属します。

認証されていない ID を有効または無効にする

Amazon Cognito ID プールは、ID プロバイダーを使って認証を行わないユーザーに固有識別子と AWS 認証情報を提供することによって、認証されていない ID をサポートすることができます。アプリケーションで、ログインしないユーザーを許可している場合、認証されていない ID 用にアクセスを有効にできます。詳細については、「Amazon Cognito ID プール (フェデレーティッド ID) の使用開始方法」を参照してください。

Amazon Cognito コンソールで [Manage Identity Pools] (ID プールの管理) をクリックします。

  1. 認証されていない ID を有効または無効にする ID プールの名前をクリックします。ID プールのダッシュボードページが表示されます。

  2. ダッシュボードページの右上にある [Edit identity pool] (ID プールの編集) をクリックします。[Edit identity pool] (ID プールの編集) ページが表示されます。

  3. スクロールダウンして、[Unauthenticated identities] (認証されていない ID) をクリックして展開します。

  4. 認証されていない ID へのアクセスを有効または無効にするチェックボックスをオンにします。

  5. [Save Changes] (変更の保存) をクリックします。

ID の種類に関連付けられたロールを変更する

ID プールでは、認証された ID と認証されていない ID という 2 種類の ID が定義されます。ID プールのすべての ID は、認証されているか、認証されていないかのいずれかです。認証された ID は、パブリックログインプロバイダー (Amazon Cognito ユーザープール、Login with Amazon、「Apple でサインイン」、Facebook、Google、SAML、または任意の OpenID Connect プロバイダー)、またはデベロッパープロバイダー (独自のバックエンド認証プロセス) によって認証されたユーザーに属します。通常、認証されていない ID はゲストユーザーに属します。

各 ID の種類について、割り当てられたロールがあります。このロールには、ロールがアクセスできる AWS のサービスを決定するポリシーがアタッチされています。Amazon Cognito がリクエストを受け取ると、このサービスが ID タイプを判別し、その ID タイプに割り当てられたロールを判別して、そのロールにアタッチされたポリシーを使用して応答します。ポリシーを変更する、または ID タイプに異なるロールを割り当てることによって、ID タイプがアクセスできる AWS のサービスを制御できます。ID プールのロールに関連付けられたポリシーの表示または変更については、「AWS IAM コンソール」を参照してください。

ID タイプに関連付けられているロールは、Amazon Cognito ID プール (フェデレーティッド ID) コンソールを使用して変更できます。Amazon Cognito コンソールで [Manage Identity Pools] (ID プールの管理) をクリックします。

  1. ロールを変更する ID プールの名前をクリックします。ID プールのダッシュボードページが表示されます。

  2. ダッシュボードページの右上にある [Edit identity pool] (ID プールの編集) をクリックします [Edit identity pool] (ID プールの編集) ページが表示されます。

  3. [Unauthenticated role] (認証されていないロール) と [Authenticated role] (認証されたロール) の横にあるドロップダウンメニューを使用して、ロールを変更します。[Create new role] (新しいロールの作成) をクリックして、AWS IAM コンソールで各 ID タイプに関連付けられたロールを作成または変更します。詳細については、「IAM ロール」を参照してください。

認証プロバイダーを有効にする、または編集する

パブリック ID プロバイダー (Amazon Cognito ユーザープール、Login with Amazon、「Apple でサインイン」、Facebook、Google など) を使用した認証をユーザーに許可している場合は、Amazon Cognito ID プール (フェデレーティッド ID) コンソールでアプリケーション識別子を指定できます。これにより、アプリケーション ID (パブリックログインプロバイダーによって提供) が ID プールに関連付けられます。

このページからプロバイダごとの認証ルールを設定することもできます。プロバイダごとに、最大 25 個のルールを割り当てることができます。ルールは、プロバイダごとに保存した順序で適用されます。詳細については、「ロールベースのアクセスコントロール」を参照してください。

警告

ID プールがリンクされたアプリケーション ID を変更すると、既存のユーザーによる ID プールでの認証が無効になります。詳細情報 ID プール (フェデレーティッドアイデンティティ) 外部 ID プロバイダー.

Amazon Cognito コンソールで [Manage Identity Pools] (ID プールの管理) をクリックします。

  1. 外部プロバイダーを有効にする ID プールの名前をクリックします。ID プールのダッシュボードページが表示されます。

  2. ダッシュボードページの右上にある [Edit identity pool] (ID プールの編集) をクリックします [Edit identity pool] (ID プールの編集) ページが表示されます。

  3. 下にスクロールし、認証プロバイダをクリックして展開します。

  4. 適切なプロバイダーのタブをクリックし、その認証プロバイダーと関連付けられている必要な情報を入力します。

ID プールを削除する

Amazon Cognito コンソールで [Manage Identity Pools] (ID プールの管理) をクリックします。

  1. 削除する ID プールの名前をクリックします。ID プールのダッシュボードページが表示されます

  2. ダッシュボードページの右上にある、[Edit identity pool] (ID プールの編集) をクリックします [Edit identity pool] (ID プールの編集) ページが表示されます

  3. スクロールダウンし、[Delete identity pool] (ID プールの削除) をクリックして展開します。

  4. [Delete identity pool] (ID プールの削除) をクリックします。

  5. [Delete pool] (プールの削除) をクリックします。

警告

削除ボタンをクリックすると、ID プールと、それに含まれているすべてのユーザーデータが完全に削除されます。ID プールを削除すると、その ID プールを利用しているアプリケーションや他のサービスは動作を停止します。

ID プールから ID を削除する

Amazon Cognito コンソールで [Manage Identity Pools] (ID プールの管理) をクリックします。

  1. 削除する ID を含む ID プールの名前をクリックします。ID プールのダッシュボードページが表示されます。

  2. ダッシュボードページの左側にあるナビゲーションで、[Identity browser] (ID ブラウザ) をクリックします。[Identities] (アイデンティティ) ページが表示されます。

  3. [Identities] (アイデンティティ) ページで、削除するアイデンティティ ID を入力し、[Search] (検索) をクリックします。

  4. [Identity details] (ID の詳細ページ) で [Delete identity] (ID の削除ボタン) をクリックし、[Delete] (削除) をクリックします。