일반적인 Amazon Cognito 시나리오

이 주제에서는 Amazon Cognito를 사용하는 6가지 일반적인 시나리오에 대해 설명합니다.

Amazon Cognito의 두 가지 주요 구성 요소는 사용자 풀과 자격 증명 풀입니다. 사용자 풀은 웹과 모바일 앱 사용자의 가입 및 로그인 옵션을 제공하는 사용자 디렉터리입니다. 자격 증명 풀은 사용자에게 다른 AWS 자격 증명에 대한 액세스 권한을 부여하는 임시 자격 증명을 제공합니다 AWS 서비스.

사용자 풀은 Amazon Cognito의 사용자 디렉터리입니다. 앱 사용자는 사용자 풀을 통해 직접 로그인하거나 타사 ID 공급자 (IdP) 를 통해 페더레이션할 수 있습니다. 사용자 풀은 페이스북, 구글, 아마존, 애플을 통한 소셜 로그인과 OpenID Connect (OIDC) 및 SAML에서 반환되는 토큰을 처리하는 오버헤드를 관리합니다. IdPs 사용자가 직접 또는 타사를 통해 로그인하는지 여부와 무관하게 사용자 풀의 모든 멤버는 디렉터리 프로필을 보유하며, SDK를 통해 액세스할 수 있습니다.

자격 증명 풀을 통해 사용자는 Amazon S3 및 DynamoDB와 같은 AWS 서비스에 액세스하기 위한 임시 AWS 자격 증명을 얻을 수 있습니다. 자격 증명 풀은 익명의 게스트 사용자뿐 아니라 타사를 통한 페더레이션도 지원합니다. IdPs

사용자 풀로 인증

사용자가 사용자 풀을 사용하여 인증하도록 설정할 수 있습니다. 앱 사용자는 사용자 풀을 통해 직접 로그인하거나 타사 ID 공급자 (IdP) 를 통해 페더레이션할 수 있습니다. 사용자 풀은 페이스북, 구글, 아마존, 애플을 통한 소셜 로그인과 OpenID Connect (OIDC) 및 SAML에서 반환되는 토큰을 처리하는 오버헤드를 관리합니다. IdPs

인증 성공 이후 웹 또는 모바일 앱은 Amazon Cognito에서 사용자 풀 토큰을 받습니다. 이러한 토큰을 사용하여 앱이 다른 AWS 서비스에 액세스할 수 있도록 허용하는 AWS 자격 증명을 검색할 수도 있고, 이를 사용하여 서버 측 리소스 또는 Amazon API Gateway에 대한 액세스를 제어할 수도 있습니다.

자세한 내용은 사용자 풀 인증 흐름 및 사용자 풀에 토큰 사용 섹션을 참조하세요.

사용자 풀로 서버 측 리소스 액세스

사용자 풀 로그인 성공 이후 웹 또는 모바일 앱은 Amazon Cognito에서 사용자 풀 토큰을 받습니다. 이러한 토큰을 사용하여 서버 측 리소스에 대한 액세스를 제어할 수 있습니다. 또한 사용자 풀 그룹을 생성하여 권한을 관리하고 다른 유형의 사용자를 표시할 수도 있습니다. 그룹을 사용하여 리소스에 액세스할 권한을 제어하는 방법에 대한 자세한 내용은 사용자 풀에 그룹 추가 섹션을 참조하세요.

사용자 풀에 대한 도메인이 구성되면 Amazon Cognito는 호스트된 웹 UI를 프로비저닝합니다. 이를 사용하여 앱에 가입 및 로그인 페이지를 추가할 수 있습니다. 이 OAuth 2.0 기반을 사용하면 사용자가 보호된 리소스에 액세스할 수 있는 자체 리소스 서버를 만들 수 있습니다. 자세한 정보는 리소스 서버를 통한 범위, M2M 및 API 인증을 참조하세요.

사용자 풀 인증에 대한 자세한 내용은 사용자 풀 인증 흐름 및 사용자 풀에 토큰 사용 섹션을 참조하세요.

사용자 풀로 API Gateway 및 Lambda를 사용하여 리소스 액세스

사용자가 API Gateway를 통해 API에 액세스하도록 할 수 있습니다. API Gateway는 성공적인 사용자 풀 인증에서 토큰을 검증하고, 토큰을 사용하여 사용자에게 Lambda 함수 또는 자체 API를 비롯한 리소스에 대한 액세스 권한을 부여합니다.

사용자 풀에 그룹을 사용하여 IAM 역할에 그룹 멤버십을 매핑함으로써 API Gateway를 통해 권한을 제어할 수 있습니다. 사용자가 속한 그룹은 앱 사용자가 로그인할 때 사용자 풀에서 제공한 ID 토큰에 포함됩니다. 사용자 풀 그룹에 대한 자세한 내용은 사용자 풀에 그룹 추가 섹션을 참조하세요.

Amazon Cognito 권한 부여자 Lambda 함수에서 확인을 위해 API Gateway에 대한 요청과 함께 사용자 풀 토큰을 제출할 수 있습니다. API Gateway 대한 자세한 내용은 Amazon Cognito 사용자 풀에 API Gateway 사용을 참조하세요.

사용자 풀과 자격 증명 풀을 사용하여 AWS 서비스에 액세스하십시오.

사용자 풀 인증 성공 이후 앱은 Amazon Cognito에서 사용자 풀 토큰을 받습니다. 자격 증명 풀을 사용하여 다른 AWS 서비스에 대한 임시 액세스와 교환할 수 있습니다. 자세한 내용은 로그인 후 자격 증명 풀을 AWS 서비스 사용하여 액세스 및 Amazon Cognito 자격 증명 풀 시작하기 섹션을 참조하세요.

서드 파티에 인증 및 자격 증명 풀로 AWS 서비스 액세스

자격 증명 풀을 통해 사용자가 AWS 서비스에 액세스할 수 있도록 할 수 있습니다. 자격 증명 풀에는 서드 파티 자격 증명 공급자에 의해 인증된 사용자의 IdP 토큰이 필요합니다(익명 게스트인 경우 필요하지 않음). 대신 자격 증명 풀은 다른 AWS 서비스에 액세스하는 데 사용할 수 있는 임시 AWS 자격 증명을 부여합니다. 자세한 정보는 Amazon Cognito 자격 증명 풀 시작하기을 참조하세요.

Amazon Cognito를 사용하여 AWS AppSync 리소스에 액세스하기

Amazon Cognito 사용자 풀 인증을 성공적으로 완료한 토큰으로 사용자에게 AWS AppSync 리소스에 대한 액세스 권한을 부여할 수 있습니다. 자세한 내용은 AWS AppSync 개발자 안내서의 AMAZON_COGNITO_USER_POOLS 인증을 참조하세요.

자격 증명 풀에서 AWS AppSync 받은 IAM 자격 증명을 사용하여 GraphQL API에 대한 요청에 서명할 수도 있습니다. AWS_IAM 권한 부여를 참조하십시오.