Amazon Cognito 사용자 풀

Amazon Cognito 사용자 풀은 웹 및 모바일 앱 인증과 권한 부여를 위한 사용자 디렉터리입니다. 앱의 관점에서 보면 Amazon Cognito 사용자 풀은 OpenID Connect (OIDC) 자격 증명 공급자 (IdP) 입니다. 사용자 풀은 보안, 아이덴티티 페더레이션, 앱 통합, 사용자 경험 사용자 지정을 위한 기능 계층을 추가합니다.

예를 들어 사용자의 세션이 신뢰할 수 있는 출처에서 온 것인지 확인할 수 있습니다. Amazon Cognito 디렉터리를 외부 ID 제공업체와 결합할 수 있습니다. 원하는 AWS SDK 경우 앱에 가장 적합한 API 인증 모델을 선택할 수 있습니다. Amazon Cognito의 기본 동작을 수정하거나 점검하는 AWS Lambda 함수를 추가할 수도 있습니다.

주제

• 특성
• 사용자 풀을 사용한 인증
• Amazon Cognito 사용자 풀 API 및 사용자 풀 엔드포인트 사용
• 사용자 풀 구성 업데이트
• Amazon Cognito 호스팅 UI 및 페더레이션 엔드포인트 설정 및 사용
• 리소스 서버를 통한 범위, M2M 및 API 권한 부여
• 서드 파티를 통한 사용자 풀 로그인 추가
• Lambda 트리거를 사용하여 사용자 풀 워크플로 사용자 정의
• Amazon Cognito 사용자 풀에서 Amazon Pinpoint 분석 사용
• 사용자 풀의 사용자 관리
• Amazon Cognito 사용자 풀에 대한 이메일 설정
• SMSAmazon Cognito 사용자 풀의 메시지 설정
• 사용자 풀에 토큰 사용
• 성공적인 사용자 풀 인증 후 리소스 액세스
• Amazon Cognito 사용자 풀의 보안 기능 사용

특성

Amazon Cognito 사용자 풀에는 다음과 같은 기능이 있습니다.

가입

Amazon Cognito 사용자 풀에는 사용자 풀에 사용자 프로필을 추가하는 사용자 기반 방법, 관리자 기반 방법, 프로그래밍 방법이 있습니다. Amazon Cognito 사용자 풀은 다음과 같은 가입 모델을 지원합니다. 앱에서 이러한 모델을 결합하여 사용할 수 있습니다.

중요

사용자 풀에서 사용자 가입을 활성화하면 인터넷에 있는 누구나 계정에 가입하고 앱에 로그인할 수 있습니다. 퍼블릭 가입이 가능하도록 앱을 공개하려는 경우가 아니면 사용자 풀에서 자체 등록을 활성화하지 마세요. 이 설정을 변경하려면 사용자 풀 콘솔의 가입 경험 탭에서 셀프 서비스 가입을 업데이트하거나 or AllowAdminCreateUserOnly요청의 값을 업데이트하세요. CreateUserPool UpdateUserPoolAPI

사용자 풀에서 설정할 수 있는 보안 기능에 대한 자세한 내용은 Amazon Cognito 사용자 풀의 보안 기능 사용 섹션을 참조하세요.

1. 사용자는 앱에서 정보를 입력하고 사용자 풀에 고유한 사용자 프로필을 생성할 수 있습니다. API가입 작업을 호출하여 사용자 풀에 사용자를 등록할 수 있습니다. 누구에게나 이러한 가입 작업을 공개하거나 클라이언트 암호 또는 자격 증명으로 권한을 부여할 수 있습니다. AWS

2. Amazon Cognito에 정보를 전달할 권한을 부여할 수 있는 서드 파티 IdP로 사용자를 리디렉션할 수 있습니다. Amazon Cognito는 OIDC id 토큰, OAuth 2.0 userInfo 데이터 및 SAML 2.0 어설션을 사용자 풀의 사용자 프로필로 처리합니다. 속성 매핑 규칙에 따라 Amazon Cognito가 수신하기를 원하는 속성을 제어할 수 있습니다.

3. 퍼블릭 또는 페더레이션 가입을 건너뛰고 자체 데이터 소스 및 스키마를 기반으로 사용자를 생성할 수 있습니다. Amazon Cognito 콘솔에서 직접 사용자를 추가하거나 API 파일에서 사용자 가져오기. CSV 기존 디렉터리에서 새 사용자를 찾고 기존 데이터로 사용자 프로필을 채우는 just-in-time AWS Lambda 함수를 실행합니다.

사용자가 가입한 후에는 Amazon Cognito가 액세스 및 ID 토큰에 나열하는 그룹에 사용자를 추가할 수 있습니다. ID 토큰을 자격 증명 풀에 전달할 때 사용자 풀 그룹을 IAM 역할에 연결할 수도 있습니다.

관련 주제

• 사용자 풀의 사용자 관리

• Amazon Cognito 사용자 풀 API 및 사용자 풀 엔드포인트 사용

• Amazon Cognito 자격 증명 공급자를 사용하는 코드 예제 AWS SDKs

로그인

Amazon Cognito는 독립 실행형 사용자 디렉터리이자 앱에 대한 ID 제공업체(idP)가 될 수 있습니다. 사용자는 Amazon Cognito에서 호스팅하는 UI로 로그인하거나 Amazon Cognito 사용자 풀을 통해 자체 UI로 로그인할 수 있습니다. API 프런트엔드 사용자 지정 UI 뒤에 있는 애플리케이션 계층은 몇 가지 방법 중 하나로 백엔드에서 요청을 승인하여 합법적인 요청을 확인할 수 있습니다.

필요할 경우 Amazon Cognito에 기본 제공된 사용자 디렉터리와 결합된 외부 디렉터리를 사용하여 사용자를 로그인하려면 다음 통합을 추가할 수 있습니다.

1. OAuth2.0 소셜 로그인으로 로그인하고 소비자 사용자 데이터를 가져오십시오. Amazon Cognito는 2.0까지 구글, 페이스북, 아마존, 애플과의 로그인을 지원합니다. OAuth

2. 로그인하고 로그인을 사용하여 엔터프라이즈 사용자 데이터를 가져오십시오SAML. OIDC 또한 모든 또는 SAML OpenID Connect (OIDC) 자격 증명 공급자 (IdP) 의 클레임을 수락하도록 Amazon Cognito를 구성할 수 있습니다.

3. 외부 사용자 프로필을 기본 사용자 프로필에 연결합니다. 연결된 사용자는 서드 파티 사용자 자격 증명으로 로그인하고 기본 제공 디렉터리에서 사용자에게 할당한 액세스 권한을 받을 수 있습니다.

관련 주제

• 서드 파티를 통한 사용자 풀 로그인 추가

• 페더레이션 사용자를 기존 사용자 프로필에 연결

M 권한 부여 achine-to-machine

일부 세션은 human-to-machine 상호 작용이 아닙니다. 자동화된 프로세스를 통해 요청을 승인할 수 있는 서비스 계정이 필요할 수 있습니다. API OAuth2.0 범위의 machine-to-machine 권한 부여를 위한 액세스 토큰을 생성하려면 클라이언트 자격 증명 부여를 생성하는 앱 클라이언트를 추가할 수 있습니다.

관련 주제

• 리소스 서버를 통한 범위, M2M 및 API 권한 부여

호스팅된 UI

사용자 인터페이스를 구축하고 싶지 않은 경우 사용자 지정된 Amazon Cognito 호스팅 UI를 사용자에게 제공할 수 있습니다. 호스팅된 UI는 가입, 로그인, 다단계 인증 () MFA 및 암호 재설정을 위한 웹 페이지 세트입니다. 호스팅된 UI를 기존 도메인에 추가하거나 하위 도메인에서 접두사 식별자를 사용할 수 있습니다. AWS

관련 주제

• Amazon Cognito 호스팅 UI 및 페더레이션 엔드포인트 설정 및 사용

• 사용자 풀 도메인 구성

보안

로컬 사용자는 SMS 메시지의 코드나 멀티 팩터 인증 () MFA 코드를 생성하는 앱을 사용하여 추가 인증 요소를 제공할 수 있습니다. 앱에서 설정 및 처리하는 메커니즘을 구축하거나 호스팅된 MFA UI에서 관리하도록 할 수 있습니다. Amazon Cognito 사용자 풀은 사용자가 신뢰할 수 있는 디바이스에서 MFA 로그인할 때 우회할 수 있습니다.

처음에 사용자에게 요청하고 싶지 않다면 MFA 조건부로 요구할 수 있습니다. Amazon Cognito는 고급 보안 기능을 통해 잠재적인 악성 활동을 탐지하고 사용자에게 로그인을 MFA 설정하거나 차단하도록 요구할 수 있습니다.

사용자 풀로 향하는 네트워크 트래픽이 악의적일 수 있는 경우 이를 모니터링하고 웹을 통해 AWS WAF 조치를 취할 수 있습니다. ACLs

관련 주제

• 사용자 MFA 풀에 추가

• 사용자 풀에 고급 보안 기능 추가

• AWS WAF ACL웹을 사용자 풀과 연결

사용자 지정 사용자 경험

사용자의 가입, 로그인 또는 프로필 업데이트 단계 대부분에서 Amazon Cognito가 요청을 처리하는 방법을 사용자 지정할 수 있습니다. Lambda 트리거를 사용하면 사용자 지정 조건에 따라 ID 토큰을 수정하거나 가입 요청을 거부할 수 있습니다. 자체 사용자 지정 인증 흐름을 생성할 수 있습니다.

사용자 지정 CSS 및 로고를 업로드하여 호스팅된 UI에 사용자에게 친숙한 모양과 느낌을 제공할 수 있습니다.

관련 주제

• Lambda 트리거를 사용하여 사용자 풀 워크플로 사용자 정의

• 사용자 정의 인증 챌린지 Lambda 트리거

• 기본 제공 로그인 및 가입 웹 페이지 사용자 정의

모니터링 및 분석

Amazon Cognito 사용자는 호스팅된 UI에 API 대한 요청을 포함하여 요청을 로깅합니다. AWS CloudTrail Amazon CloudWatch Logs에서 성능 지표를 검토하고, Lambda 트리거를 CloudWatch 사용하여 사용자 지정 로그를 푸시하고, Service Quotas 콘솔에서 요청 볼륨을 API 모니터링할 수 있습니다.

API요청의 디바이스 및 세션 데이터를 Amazon Pinpoint 캠페인에 기록할 수도 있습니다. Amazon Pinpoint를 사용하면 사용자 활동 분석을 기반으로 앱에서 푸시 알림을 보낼 수 있습니다.

관련 주제

• 를 사용하여 Amazon Cognito 호출 로깅하기 API AWS CloudTrail

• 및 Service Quotas의 CloudWatch 할당량 및 사용량 추적

• Amazon Cognito 사용자 풀에서 Amazon Pinpoint 분석 사용

Amazon Cognito 자격 증명 풀 통합

Amazon Cognito의 나머지 절반은 자격 증명 풀입니다. 자격 증명 풀은 Amazon DynamoDB 또는 Amazon S3에 대한 API 사용자의 요청을 승인하고 모니터링하는 자격 증명을 제공합니다. AWS 서비스사용자 풀에서 사용자를 분류하는 방식에 따라 데이터를 보호하는 자격 증명 기반 액세스 정책을 구축할 수 있습니다. 또한 자격 증명 풀은 사용자 풀 인증과는 별도로 다양한 자격 증명 공급자의 토큰과 SAML 2.0 어설션을 받아들일 수 있습니다.

관련 주제

• 로그인 후 자격 증명 풀을 AWS 서비스 사용하여 액세스

• Amazon Cognito 자격 증명 풀