Amazon Cognito 사용자 풀 - Amazon Cognito

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Cognito 사용자 풀

Amazon Cognito 사용자 풀은 웹 및 모바일 앱 인증과 권한 부여를 위한 사용자 디렉터리입니다. 앱의 관점에서 Amazon Cognito 사용자 풀은 OpenID Connect(OIDC) 자격 증명 공급자(IdP)입니다. 사용자 풀은 보안, 아이덴티티 페더레이션, 앱 통합, 사용자 경험 사용자 지정을 위한 기능 계층을 추가합니다.

예를 들어 사용자의 세션이 신뢰할 수 있는 출처에서 온 것인지 확인할 수 있습니다. Amazon Cognito 디렉터리를 외부 ID 제공업체와 결합할 수 있습니다. 원하는 를 사용하여 앱에 가장 적합한 API 권한 부여 모델을 선택할 AWS SDK수 있습니다. Amazon Cognito의 기본 동작을 수정하거나 점검하는 AWS Lambda 함수를 추가할 수도 있습니다.

인증 개요

특성

Amazon Cognito 사용자 풀에는 다음과 같은 기능이 있습니다.

가입

Amazon Cognito 사용자 풀에는 사용자 풀에 사용자 프로필을 추가하는 사용자 기반 방법, 관리자 기반 방법, 프로그래밍 방법이 있습니다. Amazon Cognito 사용자 풀은 다음과 같은 가입 모델을 지원합니다. 앱에서 이러한 모델을 결합하여 사용할 수 있습니다.

중요

사용자 풀에서 사용자 가입을 활성화하면 인터넷에 있는 누구나 계정에 가입하고 앱에 로그인할 수 있습니다. 퍼블릭 가입이 가능하도록 앱을 공개하려는 경우가 아니면 사용자 풀에서 자체 등록을 활성화하지 마세요. 이 설정을 변경하려면 사용자 풀 콘솔의 가입 환경 탭에서 셀프 서비스 가입을 업데이트하거나 CreateUserPool 또는 UpdateUserPool API 요청 AllowAdminCreateUserOnly에서 의 값을 업데이트합니다.

사용자 풀에서 설정할 수 있는 보안 기능에 대한 자세한 내용은 Amazon Cognito 사용자 풀의 보안 기능 사용 섹션을 참조하세요.

  1. 사용자는 앱에서 정보를 입력하고 사용자 풀에 고유한 사용자 프로필을 생성할 수 있습니다. API 가입 작업을 호출하여 사용자 풀에 사용자를 등록할 수 있습니다. 이러한 가입 작업을 누구에게나 열거나 클라이언트 보안 암호 또는 AWS 자격 증명으로 권한을 부여할 수 있습니다.

  2. Amazon Cognito에 정보를 전달할 권한을 부여할 수 있는 서드 파티 IdP로 사용자를 리디렉션할 수 있습니다. Amazon Cognito는 OIDC ID 토큰, OAuth 2.0 userInfo 데이터 및 SAML 2.0 어설션을 사용자 풀의 사용자 프로필로 처리합니다. 속성 매핑 규칙에 따라 Amazon Cognito가 수신하기를 원하는 속성을 제어할 수 있습니다.

  3. 퍼블릭 또는 페더레이션 가입을 건너뛰고 자체 데이터 소스 및 스키마를 기반으로 사용자를 생성할 수 있습니다. Amazon Cognito 콘솔 또는 에서 직접 사용자를 추가합니다API. CSV 파일에서 사용자를 가져옵니다. 기존 디렉터리에서 새 사용자를 검색하고 기존 데이터에서 사용자 프로필을 채우는 just-in-time AWS Lambda 함수를 실행합니다.

사용자가 가입한 후에는 Amazon Cognito가 액세스 및 ID 토큰에 나열하는 그룹에 사용자를 추가할 수 있습니다. ID 토큰을 자격 증명 풀에 전달할 때 사용자 풀 그룹을 IAM 역할에 연결할 수도 있습니다.

로그인

Amazon Cognito는 독립 실행형 사용자 디렉터리이자 앱에 대한 ID 제공업체(idP)가 될 수 있습니다. 사용자는 Amazon Cognito에서 호스팅하는 UI 또는 Amazon Cognito 사용자 풀을 통해 자체 UI로 로그인할 수 있습니다API. 프런트엔드 사용자 지정 UI 뒤에 있는 애플리케이션 계층은 몇 가지 방법 중 하나로 백엔드에서 요청을 승인하여 합법적인 요청을 확인할 수 있습니다.

필요할 경우 Amazon Cognito에 기본 제공된 사용자 디렉터리와 결합된 외부 디렉터리를 사용하여 사용자를 로그인하려면 다음 통합을 추가할 수 있습니다.

  1. OAuth 2.0 소셜 로그인으로 로그인하여 소비자 사용자 데이터를 가져옵니다. Amazon Cognito는 OAuth 2.0을 통해 Google, Facebook, Amazon 및 Apple에서의 로그인을 지원합니다.

  2. 및 로그인을 사용하여 로그인SAML하고 엔터프라이즈 사용자 데이터를 가져옵니다OIDC. SAML 또는 OpenID Connect(OIDC) 자격 증명 공급자(IdP)의 클레임을 수락하도록 Amazon Cognito를 구성할 수도 있습니다.

  3. 외부 사용자 프로필을 기본 사용자 프로필에 연결합니다. 연결된 사용자는 서드 파티 사용자 자격 증명으로 로그인하고 기본 제공 디렉터리에서 사용자에게 할당한 액세스 권한을 받을 수 있습니다.

M achine-to-machine 권한 부여

일부 세션은 human-to-machine 상호 작용이 아닙니다. 자동 프로세스를 API 통해 에 대한 요청을 승인할 수 있는 서비스 계정이 필요할 수 있습니다. OAuth 2.0 범위의 machine-to-machine 권한 부여를 위한 액세스 토큰을 생성하려면 클라이언트 자격 증명 권한 부여를 생성하는 앱 클라이언트를 추가할 수 있습니다.

호스팅된 UI

사용자 인터페이스를 구축하고 싶지 않은 경우 사용자 지정된 Amazon Cognito 호스팅 UI를 사용자에게 제공할 수 있습니다. 호스팅 UI는 가입, 로그인, 다중 인증(MFA) 및 암호 재설정을 위한 웹 페이지 세트입니다. 호스팅된 UI를 기존 도메인에 추가하거나 AWS 하위 도메인에서 접두사 식별자를 사용할 수 있습니다.

보안

로컬 사용자는 SMS 메시지의 코드 또는 다단계 인증(MFA) 코드를 생성하는 앱으로 추가 인증 요소를 제공할 수 있습니다. 앱에서 설정 및 처리하는 메커니즘을 구축하거나 호스팅 UI가 이를 관리하도록 할 수 MFA 있습니다. Amazon Cognito 사용자 풀은 사용자가 신뢰할 수 있는 디바이스에서 로그인할 MFA 때 우회할 수 있습니다.

처음에 사용자에게 를 요구하지 않으려면 조건부로 요구할 수 MFA 있습니다. 고급 보안 기능을 통해 Amazon Cognito는 잠재적인 악의적인 활동을 감지하고 사용자가 를 설정MFA하거나 로그인을 차단하도록 요구할 수 있습니다.

사용자 풀에 대한 네트워크 트래픽이 악성일 수 있는 경우 이를 모니터링하고 AWS WAF 웹 을 사용하여 조치를 취할 수 있습니다ACLs.

사용자 지정 사용자 경험

사용자의 가입, 로그인 또는 프로필 업데이트 단계 대부분에서 Amazon Cognito가 요청을 처리하는 방법을 사용자 지정할 수 있습니다. Lambda 트리거를 사용하면 사용자 지정 조건에 따라 ID 토큰을 수정하거나 가입 요청을 거부할 수 있습니다. 자체 사용자 지정 인증 흐름을 생성할 수 있습니다.

사용자 지정 CSS 및 로고를 업로드하여 호스팅 UI에 사용자에게 친숙한 모습과 느낌을 제공할 수 있습니다.

모니터링 및 분석

Amazon Cognito 사용자는 호스팅 UI에 대한 API 요청을 포함하여 로그 요청을 로 풀링합니다 AWS CloudTrail. Amazon CloudWatch Logs에서 성능 지표를 검토하고, Lambda 트리거 CloudWatch 를 사용하여 사용자 지정 로그를 로 푸시하고, Service Quotas 콘솔에서 API 요청 볼륨을 모니터링할 수 있습니다.

API 요청의 디바이스 및 세션 데이터를 Amazon Pinpoint 캠페인에 로깅할 수도 있습니다. Amazon Pinpoint를 사용하면 사용자 활동 분석을 기반으로 앱에서 푸시 알림을 보낼 수 있습니다.

Amazon Cognito 자격 증명 풀 통합

Amazon Cognito의 나머지 절반은 자격 증명 풀입니다. 자격 증명 풀은 사용자의 Amazon DynamoDB 또는 Amazon S3 AWS 서비스와 같은 에 대한 API 요청을 승인하고 모니터링하는 자격 증명을 제공합니다. 사용자 풀에서 사용자를 분류하는 방식에 따라 데이터를 보호하는 자격 증명 기반 액세스 정책을 구축할 수 있습니다. ID 풀은 사용자 풀 인증과 관계없이 다양한 ID 공급자의 토큰 및 SAML 2.0 어설션도 수락할 수 있습니다.