Erste Schritte mit Amazon Cognito Cognito-Identitätspools - Amazon Cognito
Erstellen eines Identitätspools in Amazon CognitoEinrichten eines SDKIntegrieren der IdentitätsanbieterAbrufen von Anmeldeinformationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Amazon Cognito Cognito-Identitätspools

Mit Amazon-Cognito-Identitäten-Pools können Sie eindeutige Identitäten erstellen und Benutzern Berechtigungen zuweisen. Ein Identitätspool kann folgende Elemente enthalten:

  • Benutzer in einem Amazon-Cognito-Benutzerpool

  • Benutzer, die die Authentifizierung mit externen Identitätsanbietern (z. B. Facebook, Google, Apple, OIDC- oder SAML-basierte Identitätsanbieter) durchführen.

  • Benutzer, die sich mit Ihrem eigenen vorhandenen Authentifizierungsablauf authentifizieren

Mit einem Identitätspool können Sie temporäre AWS Anmeldeinformationen mit von Ihnen definierten Berechtigungen für den direkten Zugriff auf andere AWS-Services oder für den Zugriff auf Ressourcen über Amazon API Gateway abrufen.

Erstellen eines Identitätspools in Amazon Cognito

Sie können einen Identitätspool über die Amazon-Cognito-Konsole erstellen oder die AWS Command Line Interface (CLI) oder die Amazon-Cognito-APIs verwenden.

So erstellen Sie einen neuen Identitäten-Pool in der Konsole

  1. Melden Sie sich bei der Amazon-Cognito-Konsole an und wählen Sie Identitätspools aus.

  2. Wählen Sie Identitätspool erstellen.

  3. Wählen Sie  unter Identitätspool-Vertrauen konfigurieren aus, ob Sie Ihren Identitätspool für authentifizierten Zugriff, Gastzugriff oder beides einrichten möchten.

    1. Wenn Sie Authentifizierter Zugriff ausgewählt haben, wählen Sie einen oder mehrere Identitätstypen aus, die Sie als Quelle für authentifizierte Identitäten in Ihrem Identitätspool festlegen möchten. Wenn Sie einen benutzerdefinierten Entwickleranbieter konfigurieren, können Sie diesen nicht ändern oder löschen, nachdem Sie Ihren Identitätspool erstellt haben.

  4. Wählen Sie unter Berechtigungen konfigurieren eine Standard-IAM-Rolle für authentifizierte Benutzer oder Gastbenutzer in Ihrem Identitätspool aus.

    1. Wählen Sie Neue IAM-Rolle erstellen, wenn Sie möchten, dass Amazon Cognito für Sie eine neue Rolle mit grundlegenden Berechtigungen und einer Vertrauensbeziehung zu Ihrem Identitätspool erstellt. Geben Sie einen IAM-Rollen-Namen ein, um Ihre neue Rolle zu identifizieren, zum Beispiel myidentitypool_authenticatedrole. Wählen Sie Richtliniendokument anzeigen aus, um die Berechtigungen zu überprüfen, die Amazon Cognito Ihrer neuen IAM-Rolle zuweist.

    2. Sie können sich dafür entscheiden, eine bestehende IAM-Rolle zu verwenden, wenn Sie bereits eine Rolle in Ihrer haben AWS-Konto , die Sie verwenden möchten. Sie müssen Ihre IAM-Rollen-Vertrauensrichtlinie so konfigurieren, dass sie cognito-identity.amazonaws.com beinhaltet. Konfigurieren Sie Ihre Rollen-Vertrauensrichtlinie so, dass Amazon Cognito die Rolle nur übernehmen kann, wenn nachgewiesen wird, dass die Anforderung von einem authentifizierten Benutzer in Ihrem spezifischen Identitätspool stammt. Weitere Informationen finden Sie unter Vertrauensstellungen und Berechtigungen für Rollen.

  5. Geben Sie in Connect Identity Providers die Details der Identitätsanbieter (IdPs) ein, die Sie unter Identitätspool-Trust konfigurieren ausgewählt haben. Möglicherweise werden Sie aufgefordert, OAuth-App-Client-Informationen anzugeben, einen Amazon-Cognito-Benutzerpool auszuwählen, einen IAM-IdP auszuwählen oder eine benutzerdefinierte ID für einen Entwickleranbieter einzugeben.

    1. Wählen Sie die Rolleneinstellungen für jeden IdP aus. Sie können Benutzern dieses IdPs die Standardrolle zuweisen, die Sie bei der Konfiguration Ihrer authentifizierten Rolle eingerichtet haben, oder die Rolle mit Regeln wählen. Mit einem Amazon-Cognito-Benutzerpool-IdP können Sie auch eine Rolle mit preferred_role in Token auswählen. Weitere Informationen zur cognito:preferred_role-Anforderung finden Sie unter Zuweisen von Prioritätswerten zu Gruppen.

      1. Wenn Sie Rolle mit Regeln wählen ausgewählt haben, geben Sie die Quell-Anforderung aus der Benutzerauthentifizierung, den Operator, mit dem Sie die Anforderung vergleichen möchten, den Wert, der zu einer Übereinstimmung mit dieser Rollenauswahl führt, und die Rolle ein, die Sie zuweisen möchten, wenn die Rollenzuweisung übereinstimmt. Wählen Sie Weitere hinzufügen aus, um eine zusätzliche Regel zu erstellen, die auf einer anderen Bedingung basiert.

      2. Wählen Sie eine Rollenauflösung. Wenn die Anforderungen Ihres Benutzers nicht Ihren Regeln entsprechen, können Sie Anmeldeinformationen verweigern oder Anmeldeinformationen für Ihre Authentifizierte Rolle ausgeben.

    2. Sie können Attribute für die Zugriffskontrolle für jeden IdP separat konfigurieren. Attribute für die Zugriffskontrolle ordnen Benutzeranforderungen den Prinzipal-Tags zu, die Amazon Cognito auf die temporäre Sitzung anwendet. Sie können IAM-Richtlinien erstellen, um den Benutzerzugriff anhand der Tags zu filtern, die Sie auf die jeweilige Sitzung anwenden.

      1. Um keine Prinzipal-Tags anzuwenden, wählen Sie Inaktiv aus.

      2. Wählen Sie Standardzuordnungen verwenden, um Prinzipal-Tags auf der Grundlage von sub- und aud-Anforderungen anzuwenden.

      3. Um Ihr eigenes benutzerdefiniertes Schema von Attributen für Prinzipal-Tags zu erstellen, wählen Sie Benutzerdefinierte Zuordnungen verwenden. Geben Sie dann einen Tag-Schlüssel ein, den Sie aus jeder Anforderung beziehen möchten, die Sie in einem Tag repräsentieren möchten.

  6. Geben Sie unter Eigenschaften konfigurieren unter Identitätspool-Name einen Namen ein.

  7. Wählen Sie unter Standardauthentifizierung (klassische Authentifizierung) aus, ob Sie den Standardablauf aktivieren möchten. Wenn der Basisablauf aktiv ist, können Sie die Rollenauswahl, die Sie für Sie getroffen haben, umgehen IdPs und AssumeRoleWithWebIdentitydirekt anrufen. Weitere Informationen finden Sie unter Identitäten-Pools (Verbundidentitäten) – Authentifizierungsablauf.

  8. Wählen Sie unter Tags die Option Tag hinzufügen aus, wenn Sie Tags auf Ihren Identitätspool anwenden möchten.

  9. Bestätigen Sie unter Überprüfen und erstellen die Auswahl, die Sie für Ihren neuen Identitätspool getroffen haben. Wählen Sie Bearbeiten, um zum Assistenten zurückzukehren und Einstellungen zu ändern. Wählen Sie danach Identitätspool erstellen aus.

Einrichten eines SDK

Um Amazon Cognito Cognito-Identitätspools zu verwenden, richten Sie AWS Amplify AWS SDK for Java, den oder den AWS SDK for .NET ein. Weitere Informationen finden Sie unter den folgenden Themen.

Integrieren der Identitätsanbieter

Amazon-Cognito-Identitätspools (Verbundidentitäten) unterstützen die Benutzerauthentifizierung über Amazon-Cognito-Benutzerpools, verbundene Identitätsanbieter wie Amazon-, Facebook-, Google-, Apple- und SAML-Identitätsanbieter, sowie nicht authentifizierte Identitäten. Diese Funktion unterstützt auch Entwicklerauthentifizierte Identitäten (Identitätspools), mit denen Sie Benutzer über Ihren eigenen Backend-Authentifizierungsablauf registrieren und authentifizieren können.

Weitere Informationen zur Verwendung eines Amazon-Cognito-Benutzerpools zum Einrichten eines eigenen Benutzerverzeichnisses finden Sie unter Amazon-Cognito-Benutzerpools und Zugriff AWS-Services über einen Identitätspool nach der Anmeldung.

Weitere Informationen zur Verwendung von externen Identitätsanbietern erhalten Sie unter Externe Identitätsanbieter von Identitäten-Pools.

Weitere Informationen zur Integration eines eigenen Backend-Authentifizierungsablaufs finden Sie unter Entwicklerauthentifizierte Identitäten (Identitätspools).

Abrufen von Anmeldeinformationen

Amazon Cognito Cognito-Identitätspools bieten temporäre AWS Anmeldeinformationen für Benutzer, die Gäste sind (nicht authentifiziert), und für Benutzer, die sich authentifiziert haben und ein Token erhalten haben. Mit diesen AWS Anmeldeinformationen kann Ihre App AWS über Amazon API Gateway sicher auf ein Backend innerhalb AWS oder außerhalb zugreifen. Siehe Abrufen von Anmeldeinformationen.