As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Banco de identidades do Amazon Cognito
Um banco de identidades do Amazon Cognito é um diretório de identidades federadas que você pode trocar por credenciais da AWS . Os grupos de identidades geram AWS credenciais temporárias para os usuários do seu aplicativo, independentemente de eles terem feito login ou se você ainda não os tiver identificado. Com as funções e políticas AWS Identity and Access Management (IAM), você pode escolher o nível de permissão que deseja conceder aos seus usuários. Os usuários podem começar como convidados e recuperar os ativos mantidos em Serviços da AWS. Depois, podem fazer login com um provedor de identidades de terceiros para desbloquear o acesso aos ativos disponibilizados aos membros registrados. O provedor de identidades de terceiros pode ser um provedor de OAuth 2.0 para consumidores (sociais), como Apple ou Google, um provedor de identidades SAML ou OIDC personalizado ou um esquema de autenticação personalizado, também chamado de provedor de desenvolvedor, criado por você.
Recursos de bancos de identidades do Amazon Cognito
- Assine solicitações para Serviços da AWS
-
Assine solicitações de API Serviços da AWS como Amazon Simple Storage Service (Amazon S3) e Amazon DynamoDB. Analise a atividade do usuário com serviços como Amazon Pinpoint e Amazon. CloudWatch
- Filtrar solicitações com políticas baseadas em recurso
-
Exerça um controle detalhado sobre o acesso dos usuários aos seus recursos. Transforme declarações de usuários em tags de sessão do IAM e crie políticas do IAM que concedam acesso de recursos a subconjuntos distintos de usuários.
- Atribuir acesso de convidado
-
Para os usuários que ainda não fizeram login, configure o banco de identidades para gerar credenciais da AWS com um escopo de acesso restrito. Autentique usuários por meio de um provedor de autenticação única para aumentar o acesso deles.
- Atribuir perfis do IAM com base nas características do usuário
-
Atribua um único perfil do IAM a todos os usuários autenticados ou selecione o perfil com base nas declarações de cada um.
- Aceitar uma variedade de provedores de identidades
-
Troque um ID ou token de acesso, um token de grupo de usuários, uma declaração SAML ou um token OAuth do provedor social por credenciais. AWS
- Validar suas próprias identidades
-
Faça sua própria validação de usuário e use suas AWS credenciais de desenvolvedor para emitir credenciais para seus usuários.
Talvez você já tenha um grupo de usuários do Amazon Cognito que forneça serviços de autenticação e autorização para sua aplicação. Você pode configurar o grupo de usuários como um provedor de identidades (IdP) para o banco de identidades. Ao fazer isso, seus usuários podem se autenticar por meio de seu grupo de usuários IdPs, consolidar suas reivindicações em um token de identidade OIDC comum e trocar esse token por credenciais. AWS O usuário pode então apresentar as credenciais dele em uma solicitação assinada para os Serviços da AWS.
Você também pode apresentar declarações autenticadas de qualquer um dos provedores de identidades diretamente em seu banco de identidades. O Amazon Cognito personaliza declarações de usuários de provedores de SAML, OAuth e OIDC em uma solicitação de API para credenciais de curto prazo. AssumeRoleWithWebIdentity
Os grupos de usuários do Amazon Cognito são como provedores de identidades OIDC para suas aplicações habilitadas para SSO. Os bancos de identidades funcionam como um provedor de identidades da AWS para qualquer aplicação com dependências de recursos que funcionam melhor com a autorização do IAM.
Os grupos de identidades do Amazon Cognito oferecem suporte aos seguintes provedores de identidade:
-
Provedores públicos: Configurando o Login with Amazon como um IdP de grupos de identidades, Configurando o Facebook como um IdP de grupos de identidades, Configurando o Google como um IdP do pool de identidades, Configurando o Login com a Apple como um IdP de pool de identidade, Twitter.
-
Configurando um OIDC provedor como IdP do grupo de identidades
-
Configurando um SAML provedor como IdP do grupo de identidades
-
Identidades autenticadas pelo desenvolvedor (bancos de identidades)
Para obter informações sobre a disponibilidade de regiões dos grupos de identidades do Amazon Cognito, consulte Disponibilidade de regiões de serviço da AWS
Para obter mais informações sobre os grupos de identidades do Amazon Cognito, consulte os tópicos a seguir.
Tópicos
- Como usar grupos de identidades (identidades federadas)
- Conceitos de grupos de identidades
- Melhores práticas de segurança para grupos de identidade do Amazon Cognito
- Usar atributos para controle de acesso
- Controle de acesso com base em perfil
- Como obter credenciais
- Acessando AWS serviços
- Provedores externos de identidade de grupos de identidades
- Identidades autenticadas pelo desenvolvedor (bancos de identidades)
- Como alternar usuários não autenticados para usuários autenticados (grupos de identidades)