Amazon Cognito 사용자 풀 - Amazon Cognito

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Cognito 사용자 풀

Amazon Cognito 사용자 풀은 웹 및 모바일 앱 인증과 권한 부여를 위한 사용자 디렉터리입니다. 앱의 관점에서 보면 Amazon Cognito 사용자 풀은 OpenID Connect(OIDC) ID 제공업체(idP)입니다. 사용자 풀은 보안, 아이덴티티 페더레이션, 앱 통합, 사용자 경험 사용자 지정을 위한 기능 계층을 추가합니다.

예를 들어 사용자의 세션이 신뢰할 수 있는 출처에서 온 것인지 확인할 수 있습니다. Amazon Cognito 디렉터리를 외부 ID 제공업체와 결합할 수 있습니다. 선호하는 AWS SDK를 사용하여 앱에 가장 적합한 API 인증 모델을 선택할 수 있습니다. Amazon Cognito의 기본 동작을 수정하거나 점검하는 AWS Lambda 함수를 추가할 수도 있습니다.

인증 개요

특성

Amazon Cognito 사용자 풀에는 다음과 같은 기능이 있습니다.

가입

Amazon Cognito 사용자 풀에는 사용자 풀에 사용자 프로필을 추가하는 사용자 기반 방법, 관리자 기반 방법, 프로그래밍 방법이 있습니다. Amazon Cognito 사용자 풀은 다음과 같은 가입 모델을 지원합니다. 앱에서 이러한 모델을 결합하여 사용할 수 있습니다.

중요

사용자 풀에서 사용자 가입을 활성화하면 인터넷에 있는 누구나 계정에 가입하고 앱에 로그인할 수 있습니다. 퍼블릭 가입이 가능하도록 앱을 공개하려는 경우가 아니면 사용자 풀에서 자체 등록을 활성화하지 마세요. 이 설정을 변경하려면 사용자 풀 콘솔의 가입 경험 탭에서 셀프 서비스 가입을 업데이트하거나 또는 API AllowAdminCreateUserOnly요청의 값을 업데이트하세요. CreateUserPool UpdateUserPool

사용자 풀에서 설정할 수 있는 보안 기능에 대한 자세한 내용은 Amazon Cognito 사용자 풀의 보안 기능 사용 섹션을 참조하세요.

  1. 사용자는 앱에서 정보를 입력하고 사용자 풀에 고유한 사용자 프로필을 생성할 수 있습니다. API 가입 작업을 호출하여 사용자 풀에 사용자를 등록할 수 있습니다. 이러한 가입 작업을 누구에게나 공개하거나 클라이언트 암호 또는 자격 증명으로 승인할 수 있습니다. AWS

  2. Amazon Cognito에 정보를 전달할 권한을 부여할 수 있는 서드 파티 IdP로 사용자를 리디렉션할 수 있습니다. Amazon Cognito는 OIDC ID 토큰, OAuth 2.0 userInfo 데이터, SAML 2.0 어설션을 사용자 풀의 사용자 프로필로 처리합니다. 속성 매핑 규칙에 따라 Amazon Cognito가 수신하기를 원하는 속성을 제어할 수 있습니다.

  3. 퍼블릭 또는 페더레이션 가입을 건너뛰고 자체 데이터 소스 및 스키마를 기반으로 사용자를 생성할 수 있습니다. Amazon Cognito 콘솔 또는 API에서 직접 사용자를 추가합니다. CSV 파일에서 사용자를 가져옵니다. 기존 디렉터리에서 새 사용자를 찾고 기존 데이터로 사용자 프로필을 채우는 just-in-time AWS Lambda 함수를 실행하세요.

사용자가 가입한 후에는 Amazon Cognito가 액세스 및 ID 토큰에 나열하는 그룹에 사용자를 추가할 수 있습니다. ID 토큰을 자격 증명 풀에 전달할 때 사용자 풀 그룹을 IAM 역할에 연결할 수도 있습니다.

로그인

Amazon Cognito는 독립 실행형 사용자 디렉터리이자 앱에 대한 ID 제공업체(idP)가 될 수 있습니다. 사용자는 Amazon Cognito에서 호스팅하는 UI를 사용하거나 Amazon Cognito 사용자 풀 API를 통해 자체 UI를 사용하여 로그인할 수 있습니다. 프런트엔드 사용자 지정 UI 뒤에 있는 애플리케이션 계층은 몇 가지 방법 중 하나로 백엔드에서 요청을 승인하여 합법적인 요청을 확인할 수 있습니다.

필요할 경우 Amazon Cognito에 기본 제공된 사용자 디렉터리와 결합된 외부 디렉터리를 사용하여 사용자를 로그인하려면 다음 통합을 추가할 수 있습니다.

  1. OAuth 2.0 소셜 로그인으로 로그인하고 소비자 사용자 데이터를 가져옵니다. Amazon Cognito는 OAuth 2.0을 통해 Google, Facebook, Amazon, Apple 로그인을 지원합니다.

  2. SAML 및 OIDC 로그인으로 로그인하고 기업 사용자 데이터를 가져옵니다. SAML 또는 OpenID Connect(OIDC) ID 제공업체(idP)의 클레임을 수락하도록 Amazon Cognito를 구성할 수도 있습니다.

  3. 외부 사용자 프로필을 기본 사용자 프로필에 연결합니다. 연결된 사용자는 서드 파티 사용자 자격 증명으로 로그인하고 기본 제공 디렉터리에서 사용자에게 할당한 액세스 권한을 받을 수 있습니다.

M 인증 achine-to-machine

일부 세션은 human-to-machine 상호 작용이 아닙니다. 자동화된 프로세스를 통해 API에 대한 요청을 승인할 수 있는 서비스 계정이 필요할 수 있습니다. OAuth 2.0 범위의 machine-to-machine 권한 부여를 위한 액세스 토큰을 생성하려면 클라이언트 자격 증명 부여를 생성하는 앱 클라이언트를 추가할 수 있습니다.

호스팅된 UI

사용자 인터페이스를 구축하고 싶지 않은 경우 사용자 지정된 Amazon Cognito 호스팅 UI를 사용자에게 제공할 수 있습니다. 호스팅 UI는 가입, 로그인, 다중 인증(MFA), 암호 재설정을 위한 일련의 웹 페이지입니다. 호스팅된 UI를 기존 도메인에 추가하거나 하위 도메인에서 접두사 식별자를 사용할 수 있습니다. AWS

보안

로컬 사용자는 SMS 메시지의 코드나 다중 인증(MFA) 코드를 생성하는 앱을 사용하여 추가 인증 요소를 제공할 수 있습니다. 앱에서 MFA를 설정 및 처리하기 위한 메커니즘을 구축하거나 호스팅 UI가 MFA를 관리하도록 할 수 있습니다. Amazon Cognito 사용자 풀은 사용자가 신뢰할 수 있는 디바이스에서 로그인할 때 MFA를 우회할 수 있습니다.

처음부터 사용자에게 MFA를 요구하기를 원치 않는 경우, 조건부로 MFA를 요구할 수 있습니다. Amazon Cognito는 고급 보안 기능을 통해 잠재적인 악성 활동을 탐지하고 MFA를 설정하도록 사용자에게 요구하거나 로그인을 차단할 수 있습니다.

사용자 풀로 향하는 네트워크 트래픽이 악의적일 수 있는 경우 이를 모니터링하고 AWS WAF 웹 ACL로 조치를 취할 수 있습니다.

사용자 지정 사용자 경험

사용자의 가입, 로그인 또는 프로필 업데이트 단계 대부분에서 Amazon Cognito가 요청을 처리하는 방법을 사용자 지정할 수 있습니다. Lambda 트리거를 사용하면 사용자 지정 조건에 따라 ID 토큰을 수정하거나 가입 요청을 거부할 수 있습니다. 자체 사용자 지정 인증 흐름을 생성할 수 있습니다.

사용자 지정 CSS 및 로고를 업로드하여 사용자에게 친숙한 모양과 느낌을 호스팅 UI에 제공할 수 있습니다.

모니터링 및 분석

Amazon Cognito 사용자 풀은 호스팅 UI에 대한 요청을 비롯한 API 요청을 AWS CloudTrail에 로깅합니다. Amazon CloudWatch Logs에서 성능 지표를 검토하고, Lambda CloudWatch 트리거로 사용자 지정 로그를 푸시하고, Service Quotas 콘솔에서 API 요청 볼륨을 모니터링할 수 있습니다.

API 요청의 디바이스 및 세션 데이터를 Amazon Pinpoint 캠페인에 로깅할 수도 있습니다. Amazon Pinpoint를 사용하면 사용자 활동 분석을 기반으로 앱에서 푸시 알림을 보낼 수 있습니다.

Amazon Cognito 자격 증명 풀 통합

Amazon Cognito의 나머지 절반은 자격 증명 풀입니다. 자격 증명 풀은 예를 들어 Amazon DynamoDB 또는 Amazon S3에 대한 사용자의 API 요청을 승인하고 모니터링하는 자격 증명을 제공합니다. AWS 서비스사용자 풀에서 사용자를 분류하는 방식에 따라 데이터를 보호하는 자격 증명 기반 액세스 정책을 구축할 수 있습니다. 자격 증명 풀은 또한 사용자 풀 인증과 별개로 다양한 ID 제공업체(idP)의 토큰 및 SAML 2.0 어설션을 수락할 수 있습니다.