Amazon Cognito 身分集區

Amazon Cognito 身分池是您可以交換 AWS 憑證的聯合身分目錄。身份池為您的應用程序的用戶生成臨時 AWS 憑據，無論他們已登錄還是您尚未識別它們。透過 AWS Identity and Access Management (IAM) 角色和政策，您可以選擇要授與使用者的權限層級。使用者可從訪客開始，擷取您保存在 AWS 服務中的資產。然後，他們可以使用第三方身分提供者登入，以解鎖您提供給註冊會員的資產存取權。第三方身分提供者可以是消費者 (社交) OAuth 2.0 提供者 (例如 Apple 或 Google)，自定義 SAML 或 OIDC 身分提供者，或者您自己設計的自定義身分驗證方案 (也稱為開發人員提供者)。

Amazon Cognito 身分池功能

簽署要求 AWS 服務

簽署 API 請求以 AWS 服務 喜歡 Amazon Simple Storage Service (Amazon S3) 和 Amazon DynamoDB。使用 Amazon Pinpoint 和 Amazon CloudWatch 等服務分析用戶活動。

使用以資源為基礎的政策篩選

對使用者存取您的資源進行精細控制。將使用者宣告轉換為 IAM 工作階段標籤，並建立 IAM 政策，將資源存取權授與使用者的不同子集。

指派訪客存取權

對於尚未登入的使用者，請設定您的身分池，以產生存取範圍更小的 AWS 憑證。透過單一登入提供者驗證使用者，以提升其存取權。

根據使用者特性指派 IAM 角色

為所有已驗證的使用者指派單一 IAM 角色，或根據每個使用者的宣告選擇角色。

接受各種身分提供者

將 ID 或存取權杖、使用者集區權杖、SAML 判斷提示或社交提供者 OAuth 權杖交換認證。 AWS

驗證您自己的身分

執行您自己的用戶驗證，並使用您的開發人員 AWS 憑據為您的用戶發出憑據。

您可能已經擁有 Amazon Cognito 使用者集區，可為您的應用程式提供身份驗證和授權服務。您可以將使用者集區身分提供者 (IdP) 設定為身分池。當您這樣做時，您的使用者可以透過您的使用者集區進行驗證 IdPs、將其宣告合併為通用的 OIDC 身分權杖，然後將該權杖交換為 AWS 憑證。然後，您的使用者可以在已簽署的請求中向您的 AWS 服務顯示憑證。

您也可以將來自任何身分提供者 的已驗證宣告直接提交到您的身分池。Amazon Cognito 會將 SAML、OAuth 和 OIDC 提供者的使用者宣告自訂為短期登入資料的 API AssumeRoleWithWebIdentity請求。

Amazon Cognito 使用者集區就像是已啟用 SSO 之應用程式的 OIDC 身分提供者。身分池充當任何資源依賴性具有 AWS 身分提供者，最適合與 IAM 授權搭配使用。

Amazon Cognito 身分集區支援下列身分提供者：

• 公開提供者：設置 Login with Amazon 作為身份池 IdP、將臉書設定為身分集區 IdP、將谷歌設置為身份池 IdP、設定以 Apple 身分識別集區 IdP 身分登入、Twitter。

• Amazon Cognito 使用者集區

• 將OIDC提供者設定為識別集區 IdP

• 將SAML提供者設定為識別集區 IdP

• 開發人員驗證的身分

如需 Amazon Cognito 身分集區區域可用性的相關資訊，請參閱 AWS 服務區域可用性。

如需 Amazon Cognito 身分集區的詳細資訊，請參閱下列主題。

主題

• 使用身分集區 (聯合身分)
• 身分集區概念
• Amazon Cognito 身分集區的安全性最佳實務
• 使用屬性進行存取控制
• 使用以角色為基礎的存取控制
• 取得憑證
• 存取 AWS 服務
• 外部身分提供者身分集區
• 開發人員驗證的身分
• 將未進行身分驗證使用者切換到已進行身分驗證使用者 (身分集區)