관리자로 사용자 계정 생성 - Amazon Cognito

관리자로 사용자 계정 생성

사용자 풀을 생성한 후 AWS Command Line Interface 또는 Amazon Cognito API 뿐만 아니라 AWS Management Console을 사용하여 사용자를 생성할 수 있습니다. 사용자 풀에서 새 사용자에 대한 프로파일을 생성하고, SMS 또는 이메일을 통해 사용자에게 가입 지침이 포함된 환영 메시지를 전송할 수 있습니다.

개발자 및 관리자는 다음 작업을 수행할 수 있습니다.

  • AWS Management Console을 사용하거나 AdminCreateUser API를 호출하여 새 사용자 프로파일을 생성합니다.

  • 임시 암호를 지정하거나 Amazon Cognito가 암호를 자동으로 생성하도록 합니다.

  • 제공된 이메일 주소 및 전화 번호가 새 사용자에 대해 확인됨으로 표시되는지 여부를 지정합니다.

  • AWS Management Console 또는 사용자 지정 메시지 Lambda 트리거를 통해 새 사용자에 대한 사용자 지정 SMS 및 이메일 초대 메시지를 지정합니다. 자세한 내용은 Lambda 트리거를 사용하여 사용자 풀 워크플로 사용자 정의 섹션을 참조하세요.

  • 초대 메시지가 SMS, 이메일 또는 둘 다를 통해 전송되는지 여부를 지정합니다.

  • AdminCreateUser API를 호출하고 RESEND 파라미터에 대해 MessageAction를 지정하여 기존 사용자에게 환영 메시지를 재전송합니다.

    참고

    이 작업은 현재 AWS Management Console을 사용하여 수행할 수 없습니다.

  • 사용자가 생성될 때 초대 메시지의 전송을 제한합니다.

  • 사용자 계정에 대한 만료 시간 제한을 지정합니다(최대 90일).

  • 사용자가 직접 가입하거나 관리자가 새 사용자만 추가하도록 합니다.

관리자 또는 개발자가 생성한 사용자에 대한 인증 흐름

이러한 사용자에 대한 인증 흐름에는 새 암호를 제출하고 필수 속성에 대해 누락된 값을 제공하는 추가 단계가 포함되어 있습니다. 이러한 단계는 다음에 설명하며 5, 6 및 7단계가 이러한 사용자에 적용됩니다.

  1. 사용자는 제공받은 사용자 이름 및 암호를 제출하여 첫 로그인을 시작합니다.

  2. SDK는 InitiateAuth(Username, USER_SRP_AUTH)를 호출합니다.

  3. Amazon Cognito는 솔트 및 암호 블록이 있는 PASSWORD_VERIFIER 문제를 반환합니다.

  4. SDK는 SRP 계산을 수행하며 RespondToAuthChallenge(Username, <SRP variables>, PASSWORD_VERIFIER)를 호출합니다.

  5. Amazon Cognito는 NEW_PASSWORD_REQUIRED 챌린지를 반환합니다. 이 챌린지의 본문에는 사용자의 현재 속성과 현재 사용자 프로파일에 값이 없는 사용자 풀 내 필수 속성이 포함되어 있습니다. 자세한 내용은 RespondToAuthChallenge를 참조하세요.

  6. 메시지가 표시되면 사용자는 새 암호 및 필수 속성에 대해 누락된 값을 입력합니다.

  7. SDK는 RespondToAuthChallenge(Username, <New password>, <User attributes>)를 호출합니다.

  8. 사용자에게 MFA에 대한 두 번째 요소가 필요한 경우 Amazon Cognito는 SMS_MFA 문제를 반환하고 코드가 제출됩니다.

  9. 사용자가 암호와 선택 항목으로 제공된 속성 값 또는 완료된 MFA를 성공적으로 변경하면 사용자가 로그인되고 토큰이 발급됩니다.

사용자가 모든 문제에 대해 만족하면 Amazon Cognito 서비스는 사용자를 확인됨으로 표시하고 해당 사용자에게 ID, 액세스 및 새로 고침 토큰을 발급합니다. 자세한 내용은 사용자 풀에 토큰 사용 섹션을 참조하세요.

AWS Management Console에서 새 사용자 생성

Amazon Cognito 콘솔을 사용하여 사용자 암호 요구 사항을 설정하고, 사용자에게 전송되는 초대 및 확인 메시지를 구성하고, 새 사용자를 추가할 수 있습니다.

암호 정책 설정 및 자체 등록 사용

Original console

정책 탭에는 이와 관련된 설정이 있습니다.

  • 필요한 암호 강도를 지정합니다.

    
                    필요한 암호 강도를 지정합니다.
  • 사용자가 스스로 가입할 수 있도록 허용하는지 여부를 지정합니다. 이 옵션은 기본적으로 설정되어 있습니다.

    
                    사용자가 스스로 가입할 수 있도록 허용하는지 여부를 지정합니다. 이 옵션은 기본적으로 설정되어 있습니다.
  • 새 계정에 대한 사용자 계정 만료 시간 제한(일)을 지정합니다. 기본 설정은 7일이며, 사용자 계정이 생성된 날로부터 측정됩니다. 최대 설정은 90일입니다. 계정이 만료되면 사용자는 관리자가 사용자의 프로파일을 업데이트할 때까지 해당 계정에 로그인할 수 없습니다.

    참고

    사용자가 로그인하면 계정은 만료되지 않습니다.

    
                    사용자 계정 만료 시간 제한(일)을 지정합니다. 기본 설정은 10일입니다.
New console

최소 암호 복잡성에 대한 설정과 사용자가 퍼블릭 API를 사용하여 사용자 풀에 가입할 수 있는지 여부를 구성할 수 있습니다.

암호 정책 구성

  1. Amazon Cognito 콘솔로 이동하여, [사용자 풀(User Pools)]을 선택합니다.

  2. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  3. [로그인 환경(Sign-in experience)] 탭을 선택하고 [암호 정책(Password policy)]을 찾습니다. 편집(Edit)을 선택합니다.

  4. [암호 정책 모드(Password policy mode)]로 [사용자 정의(Custom)]를 선택합니다.

  5. [암호 최소 길이(Password minimum length)]를 선택합니다. 암호 길이 요구 사항에 대한 제한은 사용자 풀 리소스 할당량을 참조하세요.

  6. [암호 복잡성(Password complexity)] 요구 사항을 선택합니다.

  7. 관리자가 설정한 암호가 유효한 기간을 선택합니다.

  8. [Save changes]를 선택합니다.

셀프 서비스 가입 허용

  1. Amazon Cognito 콘솔로 이동하여, [사용자 풀(User Pools)]을 선택합니다.

  2. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  3. [가입 환경(Sign-up experience)] 탭을 선택하고 [셀프 서비스 가입(Self-service sign-up)]을 찾습니다. [편집(Edit)]을 선택합니다.

  4. 자체 등록 사용(Enable self-registration) 여부를 선택합니다. 자체 등록은 일반적으로 클라이언트 암호 또는 AWS Identity and Access Management(IAM) API 자격 증명을 배포하지 않고 사용자 풀에 새 사용자를 등록해야 하는 퍼블릭 앱 클라이언트에서 사용됩니다.

    자체 등록 사용 중지

    자체 등록을 사용하지 않는 경우 IAM API 자격 증명을 사용하는 관리 API 작업 또는 페더레이션 공급자를 사용한 로그인을 통해 새 사용자를 생성해야 합니다.

  5. [Save changes]를 선택합니다.

이메일 및 SMS 메시지 사용자 정의

Original console

[메시지 사용자 정의(Message Customizations)] 탭에는 사용자 정의 이메일 확인 및 사용자 초대 메시지를 지정하기 위한 템플릿이 포함되어 있습니다.

이메일 확인 또는 사용자 초대 메시지의 경우 메시지의 최대 길이는 확인 코드 또는 임시 암호를 포함하여 2048자(UTF-8)입니다. SMS 확인 또는 사용자 초대 메시지의 경우 최대 길이는 확인 코드 또는 임시 암호를 포함하여 140자(UTF-8)입니다.

확인 코드는 24시간 동안 유효합니다.


                사용자에게 전송된 이메일 확인을 사용자 지정합니다.

                새 사용자에게 전송되는 초대 메시지를 사용자 지정합니다.
New console

사용자 메시지 사용자 정의

사용자를 로그인하도록 초대하거나, 사용자가 사용자 계정에 가입하거나, 사용자가 로그인하고 멀티 팩터 인증(MFA) 메시지가 표시될 때 Amazon Cognito가 사용자에게 보내는 메시지를 사용자 정의할 수 있습니다.

참고

[초대 메시지(Invitation message)]는 사용자 풀에 사용자를 생성하고 로그인하도록 초대할 때 전송됩니다. Amazon Cognito는 사용자의 이메일 주소나 전화 번호로 초기 로그인 정보를 전송합니다.

[확인 메시지(Verification message)]는 사용자가 사용자 풀의 사용자 계정에 가입할 때 전송됩니다. Amazon Cognito가 사용자에게 코드를 전송합니다. 사용자는 Amazon Cognito에 코드를 제공할 때 연락처 정보를 검증하고 로그인 계정을 확인합니다. 확인 코드는 24시간 동안 유효합니다.

[MFA 메시지(MFA message)]는 사용자 풀에서 SMS MFA를 사용하도록 설정하고, SMS MFA를 구성한 사용자가 로그인하고 MFA 메시지가 표시될 때 전송됩니다.

  1. Amazon Cognito 콘솔로 이동하여, [사용자 풀(User Pools)]을 선택합니다.

  2. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  3. [메시징(Messaging)] 탭을 선택하고 [메시지 템플릿(Message templates)]을 찾습니다. [확인 메시지(Verification messages)], [초대 메시지(Invitation messages)] 또는 [MFA 메시지(MFA messages)]를 선택한 다음 [편집(Edit)]을 선택합니다.

  4. 선택한 메시지 유형에 맞게 메시지를 사용자 정의합니다.

    참고

    메시지를 사용자 정의할 때 메시지 템플릿의 모든 변수를 포함해야 합니다. 변수(예: {####})를 포함하지 않으면 사용자에게 메시지 작업을 완료하기에 충분한 정보가 없습니다.

    자세한 내용은 메시지 템플릿을 참조하세요.

    1. [확인 메시지(Verification messages)]

      1. [이메일(Email)] 메시지에 대한 [확인 유형(Verification type)]을 선택합니다. [코드(Code)] 확인은 사용자가 입력해야 하는 숫자 코드를 전송합니다. [링크(Link)] 확인은 사용자가 연락처 정보를 확인하기 위해 클릭할 수 있는 링크를 전송합니다. [링크(Link)] 메시지에 대한 변수의 텍스트는 하이퍼링크 텍스트로 표시됩니다. 예를 들어 {##Click here##} 변수를 사용하는 메시지 템플릿은 이메일 메시지에 Click here로 표시됩니다.

      2. [이메일(Email)] 메시지의 [이메일 제목(Email subject)]을 입력합니다.

      3. [이메일(Email)] 메시지용 사용자 정의 [이메일 메시지(Email message)] 템플릿을 입력합니다. HTML을 사용하여 이 템플릿을 사용자 정의할 수 있습니다.

      4. [SMS] 메시지용 사용자 정의 [SMS 메시지(SMS message)] 템플릿을 입력합니다.

      5. [Save changes]를 선택합니다.

    2. [초대 메시지(Invitation messages)]

      1. [이메일(Email)] 메시지의 [이메일 제목(Email subject)]을 입력합니다.

      2. [이메일(Email)] 메시지용 사용자 정의 [이메일 메시지(Email message)] 템플릿을 입력합니다. HTML을 사용하여 이 템플릿을 사용자 정의할 수 있습니다.

      3. [SMS] 메시지용 사용자 정의 [SMS 메시지(SMS message)] 템플릿을 입력합니다.

      4. [Save changes]를 선택합니다.

    3. [MFA 메시지(MFA messages)]

      1. [SMS] 메시지용 사용자 정의 [SMS 메시지(SMS message)] 템플릿을 입력합니다.

      2. [Save changes]를 선택합니다.

사용자를 생성합니다

Original console

사용자 및 그룹(Users and groups) 탭의 사용자(Users) 탭에는 사용자 생성(Create user)]버튼이 있습니다.


                사용자 탭에서 새 사용자를 생성합니다.

[사용자 생성(Create user)]을 선택하면 [사용자 생성(Create user)] 대화 상자가 표시됩니다. 여기서 새 사용자에 대한 정보를 입력할 수 있습니다. 사용자 이름 필드만 필수입니다.

참고

AWS Management Console에서 [사용자 생성(Create user)] 양식을 사용하여 만든 사용자 계정의 경우 양식에 표시된 속성 만 AWS Management Console에서 설정할 수 있습니다. 다른 속성은 필수 속성으로 표시한 경우에도 AWS Command Line Interface 또는 Amazon Cognito API를 사용하여 설정해야 합니다.


                사용자 탭에서 사용자 양식을 생성합니다.
New console

사용자를 생성합니다

Amazon Cognito 콘솔에서 사용자 풀의 새 사용자를 생성할 수 있습니다. 일반적으로 사용자는 암호를 설정한 후에 로그인할 수 있습니다. 이메일 주소를 사용하여 로그인하려면 사용자가 email 속성을 확인해야 합니다. 전화 번호를 사용하여 로그인하려면 사용자가 phone_number 속성을 확인해야 합니다. 관리자로 계정을 확인하려면 AWS CLI 또는 API를 사용하거나 페더레이션 자격 증명 공급자를 사용하여 사용자 프로필을 생성합니다. 자세한 내용은 Amazon Cognito API 참조를 참조하세요.

  1. Amazon Cognito 콘솔로 이동하여, [사용자 풀(User Pools)]을 선택합니다.

  2. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  3. 사용자(Users) 탭을 선택한 다음 사용자 생성(Create a user)을 선택합니다.

  4. 사용자 풀에 대한 암호 요구 사항, 사용 가능한 계정 복구 방법 및 별칭 속성에 대한 지침은 사용자 풀 로그인 및 보안 요구 사항(User pool sign-in and security requirements)을 검토합니다.

  5. 초청 메시지(Invitation message)를 보내는 방식을 선택합니다. SMS 메시지와 이메일 메시지 중 하나 또는 둘 다를 선택합니다.

    참고

    초청 메시지를 보내려면 먼저 사용자 풀의 메시징(Messaging) 탭에서 Amazon Simple Notification Service 및 Amazon Simple Email Service를 사용하여 발신자 및 AWS 리전을 구성합니다. 수신자 메시지 및 데이터 요금이 적용됩니다. Amazon SES에서 이메일 메시지를 별도로 청구하며, Amazon SNS에서 SMS 메시지를 별도로 청구합니다.

  6. 새 사용자의 사용자 이름(Username)을 선택합니다.

  7. 사용자에 대해 암호 생성(Create a password)을 직접 수행할지 아니면 Amazon Cognito에서 암호 생성(Generate a password)을 수행하도록 할지를 선택합니다. 임시 암호는 사용자 풀 암호 정책을 준수해야 합니다.

  8. 생성(Create)을 선택합니다.

  9. 사용자(Users) 탭을 선택하고 사용자에 대한 사용자 이름(User name) 항목을 선택합니다. 사용자 속성(User attributes)그룹 멤버십(Group memberships)을 추가하고 편집합니다. 사용자 이벤트 기록(User event history)을 검토합니다.