Amazon Cognito 사용자 풀

Amazon Cognito 사용자 풀은 웹 및 모바일 앱 인증과 권한 부여를 위한 사용자 디렉터리입니다. 앱의 관점에서 보면 Amazon Cognito 사용자 풀은 OpenID Connect(OIDC) ID 제공업체(idP)입니다. 사용자 풀은 보안, 아이덴티티 페더레이션, 앱 통합, 사용자 경험 사용자 지정을 위한 기능 계층을 추가합니다.

예를 들어 사용자의 세션이 신뢰할 수 있는 출처에서 온 것인지 확인할 수 있습니다. Amazon Cognito 디렉터리를 외부 ID 제공업체와 결합할 수 있습니다. 선호하는 AWS SDK를 사용하여 앱에 가장 적합한 API 권한 부여 모델을 선택할 수 있습니다. Amazon Cognito의 기본 동작을 수정하거나 점검하는 AWS Lambda 함수를 추가할 수도 있습니다.

주제

• 기능
• 사용자 풀 시작하기
• 사용자 풀을 사용한 인증
• Amazon Cognito 사용자 풀 API 및 사용자 풀 엔드포인트 사용
• 사용자 풀 구성 업데이트
• Amazon Cognito 호스팅 UI 및 페더레이션 엔드포인트 설정 및 사용
• 리소스 서버 및 OAuth 2.0 범위를 사용한 API 권한 부여
• 서드 파티를 통한 사용자 풀 로그인 추가
• Lambda 트리거를 사용하여 사용자 풀 워크플로 사용자 정의
• Amazon Cognito 사용자 풀에서 Amazon Pinpoint 분석 사용
• 사용자 풀의 사용자 관리
• Amazon Cognito 사용자 풀에 대한 이메일 설정
• Amazon Cognito 사용자 풀의 SMS 메시지 설정
• 사용자 풀에 토큰 사용
• 성공적인 사용자 풀 인증 후 리소스 액세스
• Amazon Cognito 사용자 풀의 보안 기능 사용

기능

Amazon Cognito 사용자 풀에는 다음과 같은 기능이 있습니다.

가입

Amazon Cognito 사용자 풀에는 사용자 풀에 사용자 프로필을 추가하는 사용자 기반 방법, 관리자 기반 방법, 프로그래밍 방법이 있습니다. Amazon Cognito 사용자 풀은 다음과 같은 가입 모델을 지원합니다. 앱에서 이러한 모델을 결합하여 사용할 수 있습니다.

중요

사용자 풀에서 사용자 가입을 활성화하면 인터넷에 있는 누구나 계정에 가입하고 앱에 로그인할 수 있습니다. 퍼블릭 가입이 가능하도록 앱을 공개하려는 경우가 아니면 사용자 풀에서 자체 등록을 활성화하지 마세요. 이 설정을 변경하려면 사용자 풀 콘솔의 가입 경험 탭에서 셀프 서비스 가입을 업데이트하거나 CreateUserPool 또는 UpdateUserPool API 요청에서 AllowAdminCreateUserOnly 값을 업데이트합니다.

사용자 풀에서 설정할 수 있는 보안 기능에 대한 자세한 내용은 Amazon Cognito 사용자 풀의 보안 기능 사용 섹션을 참조하세요.

1. 사용자는 앱에서 정보를 입력하고 사용자 풀에 고유한 사용자 프로필을 생성할 수 있습니다. API 가입 작업을 호출하여 사용자 풀에 사용자를 등록할 수 있습니다. 이러한 등록 작업을 모든 사용자에게 공개하거나 클라이언트 암호 또는 AWS 보안 인증으로 사용자에게 권한을 부여할 수 있습니다.

2. Amazon Cognito에 정보를 전달할 권한을 부여할 수 있는 서드 파티 IdP로 사용자를 리디렉션할 수 있습니다. Amazon Cognito는 OIDC ID 토큰, OAuth 2.0 userInfo 데이터, SAML 2.0 어설션을 사용자 풀의 사용자 프로필로 처리합니다. 속성 매핑 규칙에 따라 Amazon Cognito가 수신하기를 원하는 속성을 제어할 수 있습니다.

3. 퍼블릭 또는 페더레이션 가입을 건너뛰고 자체 데이터 소스 및 스키마를 기반으로 사용자를 생성할 수 있습니다. Amazon Cognito 콘솔 또는 API에서 직접 사용자를 추가합니다. CSV 파일에서 사용자를 가져옵니다. 기존 디렉터리에서 새 사용자를 조회하고 기존 데이터에서 사용자 프로필을 채우는 Just-in-Time AWS Lambda 함수를 실행합니다.

사용자가 가입한 후에는 Amazon Cognito가 액세스 및 ID 토큰에 나열하는 그룹에 사용자를 추가할 수 있습니다. ID 토큰을 자격 증명 풀에 전달할 때 사용자 풀 그룹을 IAM 역할에 연결할 수도 있습니다.

관련 주제

• 사용자 풀의 사용자 관리

• Amazon Cognito 사용자 풀 API 및 사용자 풀 엔드포인트 사용

• AWS SDK를 사용한 Amazon Cognito 자격 증명 공급자용 코드 예시

로그인

Amazon Cognito는 독립 실행형 사용자 디렉터리이자 앱에 대한 ID 제공업체(idP)가 될 수 있습니다. 사용자는 Amazon Cognito에서 호스팅하는 UI를 사용하거나 Amazon Cognito 사용자 풀 API를 통해 자체 UI를 사용하여 로그인할 수 있습니다. 프런트엔드 사용자 지정 UI 뒤에 있는 애플리케이션 계층은 몇 가지 방법 중 하나로 백엔드에서 요청을 승인하여 합법적인 요청을 확인할 수 있습니다.

필요할 경우 Amazon Cognito에 기본 제공된 사용자 디렉터리와 결합된 외부 디렉터리를 사용하여 사용자를 로그인하려면 다음 통합을 추가할 수 있습니다.

1. OAuth 2.0 소셜 로그인으로 로그인하고 소비자 사용자 데이터를 가져옵니다. Amazon Cognito는 OAuth 2.0을 통해 Google, Facebook, Amazon, Apple 로그인을 지원합니다.

2. SAML 및 OIDC 로그인으로 로그인하고 기업 사용자 데이터를 가져옵니다. SAML 또는 OpenID Connect(OIDC) ID 제공업체(idP)의 클레임을 수락하도록 Amazon Cognito를 구성할 수도 있습니다.

3. 외부 사용자 프로필을 기본 사용자 프로필에 연결합니다. 연결된 사용자는 서드 파티 사용자 자격 증명으로 로그인하고 기본 제공 디렉터리에서 사용자에게 할당한 액세스 권한을 받을 수 있습니다.

관련 주제

• 서드 파티를 통한 사용자 풀 로그인 추가

• 페더레이션 사용자를 기존 사용자 프로필에 연결

기계 간 인증

일부 세션은 사람과 기계의 상호 작용이 아닙니다. 자동화된 프로세스를 통해 API에 대한 요청을 승인할 수 있는 서비스 계정이 필요할 수 있습니다. OAuth 2.0 범위를 사용하여 기계 간 인증을 위한 액세스 토큰을 생성하려면 클라이언트 보안 인증 부여를 생성하는 앱 클라이언트를 추가할 수 있습니다.

관련 주제

• 리소스 서버 및 OAuth 2.0 범위를 사용한 API 권한 부여

호스팅된 UI

사용자 인터페이스를 구축하고 싶지 않은 경우 사용자 지정된 Amazon Cognito 호스팅 UI를 사용자에게 제공할 수 있습니다. 호스팅 UI는 가입, 로그인, 다중 인증(MFA), 암호 재설정을 위한 일련의 웹 페이지입니다. 기존 도메인에 호스팅 UI를 추가하거나 AWS 하위 도메인에서 접두사 식별자를 사용할 수 있습니다.

관련 주제

• Amazon Cognito 호스팅 UI 및 페더레이션 엔드포인트 설정 및 사용

• 사용자 풀 도메인 구성

보안

로컬 사용자는 SMS 메시지의 코드나 다중 인증(MFA) 코드를 생성하는 앱을 사용하여 추가 인증 요소를 제공할 수 있습니다. 앱에서 MFA를 설정 및 처리하기 위한 메커니즘을 구축하거나 호스팅 UI가 MFA를 관리하도록 할 수 있습니다. Amazon Cognito 사용자 풀은 사용자가 신뢰할 수 있는 디바이스에서 로그인할 때 MFA를 우회할 수 있습니다.

처음부터 사용자에게 MFA를 요구하기를 원치 않는 경우, 조건부로 MFA를 요구할 수 있습니다. Amazon Cognito는 고급 보안 기능을 통해 잠재적인 악성 활동을 탐지하고 MFA를 설정하도록 사용자에게 요구하거나 로그인을 차단할 수 있습니다.

사용자 풀로 오는 네트워크 트래픽이 악성일 수 있는 경우, AWS WAF 웹 ACL로 이를 모니터링하고 조치를 취할 수 있습니다.

관련 주제

• 사용자 풀에 MFA 추가

• 사용자 풀에 고급 보안 기능 추가

• AWS WAF 웹 ACL을 사용자 풀과 연결

사용자 지정 사용자 경험

사용자의 가입, 로그인 또는 프로필 업데이트 단계 대부분에서 Amazon Cognito가 요청을 처리하는 방법을 사용자 지정할 수 있습니다. Lambda 트리거를 사용하면 사용자 지정 조건에 따라 ID 토큰을 수정하거나 가입 요청을 거부할 수 있습니다. 자체 사용자 지정 인증 흐름을 생성할 수 있습니다.

사용자 지정 CSS 및 로고를 업로드하여 사용자에게 친숙한 모양과 느낌을 호스팅 UI에 제공할 수 있습니다.

관련 주제

• Lambda 트리거를 사용하여 사용자 풀 워크플로 사용자 정의

• 사용자 정의 인증 챌린지 Lambda 트리거

• 기본 제공 로그인 및 가입 웹 페이지 사용자 정의

모니터링 및 분석

Amazon Cognito 사용자 풀은 호스팅 UI에 대한 요청을 비롯한 API 요청을 AWS CloudTrail에 로깅합니다. Amazon CloudWatch Logs에서 성능 지표를 검토하고, Lambda 트리거를 사용하여 사용자 지정 로그를 CloudWatch에 푸시하고, Service Quotas 콘솔에서 API 요청 볼륨을 모니터링할 수 있습니다.

API 요청의 디바이스 및 세션 데이터를 Amazon Pinpoint 캠페인에 로깅할 수도 있습니다. Amazon Pinpoint를 사용하면 사용자 활동 분석을 기반으로 앱에서 푸시 알림을 보낼 수 있습니다.

관련 주제

• AWS CloudTrail을 사용하여 Amazon Cognito API 호출 로깅

• CloudWatch 및 Service Quotas에서 할당량 및 사용량 추적

• Amazon Cognito 사용자 풀에서 Amazon Pinpoint 분석 사용

Amazon Cognito 자격 증명 풀 통합

Amazon Cognito의 나머지 절반은 자격 증명 풀입니다. 자격 증명 풀은 Amazon DynamoDB나 Amazon S3 등 AWS 서비스에 대한 사용자의 API 요청을 승인하고 모니터링하는 보안 인증을 제공합니다. 사용자 풀에서 사용자를 분류하는 방식에 따라 데이터를 보호하는 자격 증명 기반 액세스 정책을 구축할 수 있습니다. 자격 증명 풀은 또한 사용자 풀 인증과 별개로 다양한 ID 제공업체(idP)의 토큰 및 SAML 2.0 어설션을 수락할 수 있습니다.

관련 주제

• 로그인 후 자격 증명 풀을 사용하여 AWS 서비스 액세스

• Amazon Cognito 자격 증명 풀(페더레이션 자격 증명)