사용자 IAM 역할 인증된 자격 증명 및 인증되지 않은 자격 증명 게스트 액세스 활성화 또는 비활성화 자격 증명 유형과 연관된 역할 변경 ID 제공업체 편집 자격 증명 풀 삭제 자격 증명 풀에서 자격 증명 삭제

자격 증명 풀(페더레이션 자격 증명) 사용

Amazon Cognito AWS 자격 증명 풀은 게스트 (미인증) 인 사용자와 인증을 받고 토큰을 받은 사용자에게 임시 자격 증명을 제공합니다. 자격 증명 풀은 계정에 관련된 사용자 자격 증명 데이터의 저장소입니다.

콘솔에서 새 자격 증명 풀을 만들려면

Amazon Cognito 콘솔에 로그인하고 자격 증명 풀을 선택합니다.
자격 증명 풀 생성을 선택합니다.
자격 증명 풀 신뢰 구성에서 인증된 액세스, 게스트 액세스 또는 둘 다에 대해 자격 증명 풀을 설정하도록 선택합니다.
1. 인증된 액세스를 선택한 경우 자격 증명 풀에서 인증된 자격 증명의 소스로 설정하려는 자격 증명 유형을 하나 이상 선택합니다. 사용자 지정 개발자 공급자를 구성하는 경우 자격 증명 풀을 생성한 후에는 이를 수정하거나 삭제할 수 없습니다.
권한 구성에서 자격 증명 풀의 인증된 사용자 또는 게스트 사용자의 기본 IAM 역할을 선택합니다.
1. Amazon Cognito가 기본 권한 및 자격 증명 풀과의 신뢰 관계가 있는 새 역할을 생성하도록 하려면 새 IAM 역할 생성을 선택합니다. 새 역할을 식별하는 IAM 역할 이름을 입력합니다(예: myidentitypool_authenticatedrole). Amazon Cognito가 새 IAM 역할에 할당할 권한을 검토하려면 정책 문서 보기를 선택합니다.
2. 사용하려는 역할이 이미 AWS 계정 있는 경우 기존 IAM 역할을 사용하도록 선택할 수 있습니다. cognito-identity.amazonaws.com을 포함하도록 IAM 역할 신뢰 정책을 구성해야 합니다. 특정 자격 증명 풀의 인증된 사용자로부터 요청이 시작되었다는 증거가 제시되는 경우에만 Amazon Cognito가 역할을 맡을 수 있도록 역할 신뢰 정책을 구성합니다. 자세한 설명은 역할 트러스트 및 권한 섹션을 참조하세요.
Connect ID 제공자에 ID 풀 신뢰 구성에서 선택한 ID 제공자 (IdPs) 의 세부 정보를 입력합니다. OAuth 앱 클라이언트 정보를 제공하거나, Amazon Cognito 사용자 풀을 선택하거나, IAM IdP를 선택하거나, 개발자 공급자의 사용자 지정 식별자를 입력하라는 메시지가 표시될 수 있습니다.
1. 각 IdP의 역할 설정을 선택합니다. 인증된 역할을 구성할 때 설정한 기본 역할을 이 IdP의 사용자에게 할당하거나 규칙을 사용하여 역할 선택을 선택할 수 있습니다. Amazon Cognito 사용자 풀 IdP를 사용하면 토큰에서 preferred_role을 포함한 역할을 선택할 수도 있습니다. cognito:preferred_role 클레임에 대한 자세한 내용은 그룹에 우선 순위 값 할당을 참조하세요.
  1. 규칙을 사용하여 역할 선택을 선택한 경우 사용자 인증의 소스 클레임, 클레임 비교 기준으로 사용할 운영자, 이 역할 선택과 일치하도록 하는 값, 역할 할당이 일치할 때 할당할 역할을 입력합니다. 다른 조건에 따라 추가 규칙을 생성하려면 다른 항목 추가를 선택합니다.
  2. 역할 해결을 선택합니다. 사용자의 클레임이 규칙과 일치하지 않는 경우 보안 인증을 거부하거나 인증된 역할의 보안 인증을 발급할 수 있습니다.
2. 각 IdP별로 액세스 제어를 위한 속성을 구성합니다. 액세스 제어를 위한 속성은 사용자 클레임을 Amazon Cognito가 임시 세션에 적용하는 보안 주체 태그에 매핑합니다. 세션에 적용하는 태그를 기반으로 사용자 액세스를 필터링하는 IAM 정책을 구축할 수 있습니다.
  1. 보안 주체 태그를 적용하지 않으려면 비활성을 선택합니다.
  2. sub 및 aud 클레임 기반 보안 주체 태그를 적용하려면 기본 매핑 사용을 선택합니다.
  3. 보안 주체 태그에 대한 속성의 자체 사용자 지정 스키마를 생성하려면 사용자 지정 매핑 사용을 선택합니다. 그런 다음 태그에 표시하려는 각 클레임에서 소싱하려는 태그 키를 입력합니다.
속성 구성에서 자격 증명 풀 이름 아래에 이름을 입력합니다.
기본(Classic) 인증에서 기본 흐름 활성화 여부를 선택합니다. 기본 흐름이 활성화되면 선택한 역할을 IdPs 우회하여 직접 AssumeRoleWithWebIdentity호출할 수 있습니다. 자세한 설명은 자격 증명 풀(페더레이션 자격 증명) 인증 흐름 섹션을 참조하세요.
자격 증명 풀에 태그를 적용하려면 태그에서 태그 추가를 선택합니다.
검토 및 생성에서 새 자격 증명 풀에 대한 선택 사항을 확인합니다. 편집을 선택하여 마법사로 돌아가서 설정을 변경합니다. 완료하면 자격 증명 풀 생성을 선택합니다.

사용자 IAM 역할

IAM 역할은 사용자가 AWS 리소스에 액세스할 수 있는 권한 (예:) 을 정의합니다. Amazon Cognito Sync 생성된 역할을 애플리케이션 사용자가 수임합니다. 인증된 사용자와 인증되지 않은 사용자에게 다른 역할을 지정할 수 있습니다. IAM 역할에 대한 자세한 내용은 IAM 역할 섹션을 참조하세요.

인증된 자격 증명 및 인증되지 않은 자격 증명

Amazon Cognito 자격 증명 풀은 인증된 자격 증명과 인증되지 않은 자격 증명을 모두 지원합니다. 인증된 자격 증명은 지원되는 자격 증명 공급자가 인증한 사용자를 위한 것이고, 인증되지 않은 자격 증명은 대개 게스트 사용자를 위한 것입니다.

퍼블릭 로그인 공급자를 통해 인증된 자격 증명을 구성하려면 자격 증명 풀 외부 자격 증명 공급자 섹션을 참조하세요.
자체 백엔드 인증 프로세스를 구성하려면 개발자 인증 자격 증명(자격 증명 풀) 섹션을 참조하세요.

게스트 액세스 활성화 또는 비활성화

Amazon Cognito 자격 증명 풀 게스트 액세스 (비인증 자격 증명) 는 자격 증명 공급자를 통해 인증하지 않은 사용자에게 고유한 식별자와 AWS 자격 증명을 제공합니다. 애플리케이션에서 로그인하지 않은 사용자를 허용하는 경우 인증하지 않은 자격 증명의 액세스를 활성화할 수 있습니다. 자세한 내용은 Amazon Cognito 자격 증명 풀(페더레이션 자격 증명) 시작하기를 참조하세요.

자격 증명 풀에서 게스트 액세스를 업데이트하려면

Amazon Cognito 콘솔에서 자격 증명 풀을 선택합니다. 자격 증명 풀을 선택합니다.
사용자 액세스 탭을 선택합니다.
게스트 액세스를 찾습니다. 현재 게스트 액세스를 지원하지 않는 자격 증명 풀에서는 상태가 비활성입니다.
1. 게스트 액세스가 활성이고 이를 비활성화하려면 비활성화를 선택합니다.
2. 게스트 액세스가 비활성이고 이를 활성화하려면 편집을 선택합니다.
  1. 자격 증명 풀의 게스트 사용자의 기본 IAM 역할을 선택합니다.
    1. Amazon Cognito가 기본 권한 및 자격 증명 풀과의 신뢰 관계가 있는 새 역할을 생성하도록 하려면 새 IAM 역할 생성을 선택합니다. 새 역할을 식별하는 IAM 역할 이름을 입력합니다(예: myidentitypool_authenticatedrole). Amazon Cognito가 새 IAM 역할에 할당할 권한을 검토하려면 정책 문서 보기를 선택합니다.
    2. 사용하려는 역할이 이미 있는 경우 기존 IAM 역할을 사용하도록 선택할 수 있습니다 AWS 계정 . cognito-identity.amazonaws.com을 포함하도록 IAM 역할 신뢰 정책을 구성해야 합니다. 특정 자격 증명 풀의 인증된 사용자로부터 요청이 시작되었다는 증거가 제시되는 경우에만 Amazon Cognito가 역할을 맡을 수 있도록 역할 신뢰 정책을 구성합니다. 자세한 설명은 역할 트러스트 및 권한 섹션을 참조하세요.
    3. 변경 사항 저장(Save changes)을 선택합니다.
    4. 게스트 액세스를 활성화하려면 사용자 액세스 탭에서 활성화를 선택합니다.

자격 증명 유형과 연관된 역할 변경

자격 증명 풀의 모든 자격 증명은 인증 또는 미인증입니다. 인증 자격 증명은 퍼블릭 로그인 공급자(Amazon Cognito 사용자 풀, Login with Amazon, Sign in with Apple, Facebook, Google, SAML 또는 OpenID Connect 공급자) 또는 개발자 공급자(자체 백엔드 인증 프로세스)에 의해 인증된 사용자에 속합니다. 인증되지 않은 자격 증명은 대개 게스트 사용자를 위한 것입니다.

각 자격 증명 유형에 대해 할당된 역할이 있습니다. 이 역할에는 해당 역할이 액세스할 수 있는 대상을 지정하는 정책이 첨부되어 AWS 서비스 있습니다. Amazon Cognito가 요청을 받으면 이 서비스가 자격 증명 유형을 결정하고, 해당 자격 증명 유형에 할당된 역할을 결정하고, 해당 역할에 첨부된 정책을 사용하여 대응합니다. 정책을 수정하거나 ID 유형에 다른 역할을 할당하여 액세스할 수 있는 ID 유형을 제어할 수 있습니다. AWS 서비스 자격 증명 풀에서 역할과 연관된 정책을 보거나 수정하려면 AWS IAM 콘솔을 참조하세요.

자격 증명 풀 기본 인증 역할 또는 인증되지 않은 역할을 변경하려면

Amazon Cognito 콘솔에서 자격 증명 풀을 선택합니다. 자격 증명 풀을 선택합니다.
사용자 액세스 탭을 선택합니다.
게스트 액세스 또는 인증된 액세스를 찾습니다. 현재 해당 액세스 유형에 대해 구성되지 않은 자격 증명 풀에서는 상태가 비활성입니다. [편집(Edit)]을 선택합니다.
자격 증명 풀의 게스트 또는 인증된 사용자의 기본 IAM 역할을 선택합니다.
1. Amazon Cognito가 기본 권한 및 자격 증명 풀과의 신뢰 관계가 있는 새 역할을 생성하도록 하려면 새 IAM 역할 생성을 선택합니다. 새 역할을 식별하는 IAM 역할 이름을 입력합니다(예: myidentitypool_authenticatedrole). Amazon Cognito가 새 IAM 역할에 할당할 권한을 검토하려면 정책 문서 보기를 선택합니다.
2. 사용하려는 역할이 이미 AWS 계정 있는 경우 기존 IAM 역할을 사용하도록 선택할 수 있습니다. cognito-identity.amazonaws.com을 포함하도록 IAM 역할 신뢰 정책을 구성해야 합니다. 특정 자격 증명 풀의 인증된 사용자로부터 요청이 시작되었다는 증거가 제시되는 경우에만 Amazon Cognito가 역할을 맡을 수 있도록 역할 신뢰 정책을 구성합니다. 자세한 설명은 역할 트러스트 및 권한 섹션을 참조하세요.
변경 사항 저장(Save changes)을 선택합니다.

ID 제공업체 편집

사용자가 소비자 ID 제공업체(예: Amazon Cognito 사용자 풀, Login with Amazon, Sign in with Apple, Facebook, Google)를 사용하여 인증하는 것을 허용하는 경우 Amazon Cognito 자격 증명 풀(페더레이션 자격 증명) 콘솔에서 애플리케이션 식별자를 지정할 수 있습니다. 이 퍼블릭 자격 증명 공급자는 애플리케이션 ID(퍼블릭 로그인 공급자가 제공함)와 자격 증명 풀을 연결합니다.

이 페이지에서 각 공급자에 대한 인증 규칙을 구성할 수도 있습니다. 각 공급자에 대해 최대 25개의 규칙이 허용됩니다. 규칙은 저장한 순서대로 각 공급자에 적용됩니다. 자세한 내용은 역할 기반 액세스 제어 사용 섹션을 참조하세요.

주의

자격 증명 풀에서 연결된 IdP 애플리케이션 ID를 변경하면 기존 사용자가 해당 자격 증명 풀을 사용하여 인증할 수 없게 됩니다. 자세한 설명은 자격 증명 풀 외부 자격 증명 공급자 섹션을 참조하세요.

자격 증명 풀 ID 제공업체(idP)를 업데이트하려면

Amazon Cognito 콘솔에서 자격 증명 풀을 선택합니다. 자격 증명 풀을 선택합니다.
사용자 액세스 탭을 선택합니다.
ID 제공업체를 찾습니다. 편집할 ID 제공업체를 선택합니다. 새 IdP를 추가하려면 ID 제공업체 추가를 선택합니다.
1. ID 제공업체 추가를 선택한 경우 추가하려는 자격 증명 유형 중 하나를 선택합니다.
애플리케이션 ID를 변경하려면 ID 제공업체 정보에서 편집을 선택합니다.
Amazon Cognito가 이 공급자를 통해 인증한 사용자에게 보안 인증을 발급할 때 요청하는 역할을 변경하려면 역할 설정에서 편집을 선택합니다.
1. 인증된 역할을 구성할 때 설정한 기본 역할을 해당 IdP의 사용자에게 할당하거나 규칙을 사용하여 역할 선택을 선택할 수 있습니다. Amazon Cognito 사용자 풀 IdP를 사용하면 토큰에서 preferred_role을 포함한 역할을 선택할 수도 있습니다. cognito:preferred_role 클레임에 대한 자세한 내용은 그룹에 우선 순위 값 할당을 참조하세요.
  1. 규칙을 사용하여 역할 선택을 선택한 경우 사용자 인증의 소스 클레임, 클레임 비교 기준으로 사용할 운영자, 이 역할 선택과 일치하도록 하는 값, 역할 할당이 일치할 때 할당할 역할을 입력합니다. 다른 조건에 따라 추가 규칙을 생성하려면 다른 항목 추가를 선택합니다.
  2. 역할 해결을 선택합니다. 사용자의 클레임이 규칙과 일치하지 않는 경우 보안 인증을 거부하거나 인증된 역할의 보안 인증을 발급할 수 있습니다.
Amazon Cognito가 이 공급자를 통해 인증한 사용자에게 보안 인증을 발급할 때 할당하는 보안 주체 태그를 변경하려면 액세스 제어를 위한 속성에서 편집을 선택합니다.
1. 보안 주체 태그를 적용하지 않으려면 비활성을 선택합니다.
2. sub 및 aud 클레임 기반 보안 주체 태그를 적용하려면 기본 매핑 사용을 선택합니다.
3. 보안 주체 태그에 대한 속성의 자체 사용자 지정 스키마를 생성하려면 사용자 지정 매핑 사용을 선택합니다. 그런 다음 태그에 표시하려는 각 클레임에서 소싱하려는 태그 키를 입력합니다.
변경 사항 저장(Save changes)을 선택합니다.

자격 증명 풀 삭제

자격 증명 풀 삭제는 실행 취소할 수 없습니다. 자격 증명 풀을 삭제하면 해당 자격 증명 풀을 사용하는 모든 앱과 사용자의 작동이 중지됩니다.

자격 증명 풀을 삭제하려면

Amazon Cognito 콘솔에서 자격 증명 풀을 선택합니다. 삭제할 자격 증명 풀 옆의 라디오 버튼을 선택합니다.
삭제를 선택합니다.
자격 증명 풀의 이름을 입력하거나 붙여넣고 삭제를 선택합니다.

주의

삭제(Delete) 버튼을 선택하면 자격 증명 풀과 여기에 포함된 모든 사용자 데이터를 영구적으로 삭제합니다. 자격 증명 풀을 삭제할 경우 자격 증명 풀을 사용하는 애플리케이션과 기타 서비스의 작동이 중지됩니다.

자격 증명 풀에서 자격 증명 삭제

자격 증명 풀에서 자격 증명을 삭제하면 Amazon Cognito가 해당 페더레이션 사용자에 대해 저장한 식별 정보가 제거됩니다. 사용자가 보안 인증을 다시 요청하면 자격 증명 풀이 여전히 사용자의 ID 제공업체를 신뢰하는 경우 새 자격 증명 ID를 받게 됩니다. 이 작업은 실행 취소할 수 없습니다.

자격 증명을 삭제하려면

Amazon Cognito 콘솔에서 자격 증명 풀을 선택합니다. 자격 증명 풀을 선택합니다.
자격 증명 브라우저 탭을 선택합니다.
삭제할 자격 증명 옆의 확인란을 선택하고 삭제를 선택합니다. 자격 증명을 정말로 삭제할지 다시 묻는 메시지가 나오면 확인 후 삭제를 선택합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

자격 증명 풀 시작하기

Amazon Cognito Sync를 자격 증명 풀과 함께 사용