Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erste Schritte mit Amazon Cognito Cognito-Identitätspools
<a name="getting-started-with-identity-pools"></a>

Mit Amazon-Cognito-Identitätspools können Sie eindeutige Identitäten erstellen und Benutzern Berechtigungen zuweisen. Ihr Identitätspool kann Identitäten aus den folgenden Arten von Authentifizierungsdiensten einbeziehen:
+ Benutzer in einem Amazon-Cognito-Benutzerpool
+ Benutzer, die die Authentifizierung mit externen Identitätsanbietern (z. B. Facebook, Google, Apple, OIDC- oder SAML-basierte Identitätsanbieter) durchführen.
+ Benutzer, die sich mit Ihrem eigenen vorhandenen Authentifizierungsablauf authentifizieren

Nachdem sich Benutzer bei ihrem Anbieter authentifiziert und die Autorisierung für einen Identitätspool vorgelegt haben, erhalten sie temporäre AWS Anmeldeinformationen. Die Anmeldeinformationen von Benutzern verfügen über Berechtigungen, die Sie für den Zugriff auf andere AWS-Services Benutzer definieren.

**Topics**
+ [Erstellen eines Identitätspools in Amazon Cognito](#create-identity-pool)
+ [Einrichten eines SDK](#install-the-mobile-or-javascript-sdk)
+ [Integrieren der Identitätsanbieter](#integrate-the-identity-providers)
+ [Abrufen von Anmeldeinformationen](#get-credentials)
+ [Beispielanwendung für Identitätspools](getting-started-identity-pools-application.md)

## Erstellen eines Identitätspools in Amazon Cognito
<a name="create-identity-pool"></a>

Sie können einen Identitätspool über die Amazon Cognito-Konsole erstellen, oder Sie können die AWS Command Line Interface (CLI) oder Amazon APIs Cognito verwenden. Das folgende Verfahren ist eine allgemeine Anleitung zum Erstellen eines neuen Identitätspools in der Konsole. Sie können auch [direkt zur Konsole springen und den](https://console.aws.amazon.com/cognito/v2/identity/identity-pools) Anleitungen und den Inhalten der Inline-Hilfe folgen.

**So erstellen Sie einen neuen Identitäten-Pool in der Konsole**

1. Melden Sie sich bei der [Amazon-Cognito-Konsole](https://console.aws.amazon.com/cognito/home) an und wählen Sie **Identitätspools** aus. Informationen zum Zuweisen von Berechtigungen für Ihren IAM-Prinzipal, sodass er Amazon Cognito Cognito-Ressourcen erstellen und verwalten kann, finden Sie unter. [AWS verwaltete Richtlinien für Amazon Cognito](security-iam-awsmanpol.md) Die `AmazonCognitoPowerUser` Richtlinie ist ausreichend für die Erstellung von Identitätspools.

1. Wählen Sie **Identitätspool erstellen**.

1. Wählen Sie  unter **Identitätspool-Vertrauen konfigurieren** aus, ob Sie Ihren Identitätspool für **authentifizierten Zugriff**, **Gastzugriff** oder beides einrichten möchten.

   1. Wenn Sie **Authentifizierter Zugriff** ausgewählt haben, wählen Sie einen oder mehrere **Identitätstypen** aus, die Sie als Quelle für authentifizierte Identitäten in Ihrem Identitätspool festlegen möchten. Wenn Sie einen **benutzerdefinierten Entwickleranbieter** konfigurieren, können Sie diesen nicht ändern oder löschen, nachdem Sie Ihren Identitätspool erstellt haben.

1. Wählen Sie unter **Berechtigungen konfigurieren** eine Standard-IAM-Rolle für authentifizierte Benutzer oder Gastbenutzer in Ihrem Identitätspool aus.

   1. Wählen Sie **Neue IAM-Rolle erstellen**, wenn Sie möchten, dass Amazon Cognito für Sie eine neue Rolle mit grundlegenden Berechtigungen und einer Vertrauensbeziehung zu Ihrem Identitätspool erstellt. Geben Sie einen **IAM-Rollen-Namen** ein, um Ihre neue Rolle zu identifizieren, zum Beispiel `myidentitypool_authenticatedrole`. Wählen Sie **Richtliniendokument anzeigen** aus, um die Berechtigungen zu überprüfen, die Amazon Cognito Ihrer neuen IAM-Rolle zuweist.

   1. Sie können sich dafür entscheiden, **eine bestehende IAM-Rolle zu verwenden**, wenn Sie bereits eine Rolle in Ihrer haben AWS-Konto , die Sie verwenden möchten. Sie müssen Ihre IAM-Rollen-Vertrauensrichtlinie so konfigurieren, dass sie `cognito-identity.amazonaws.com` beinhaltet. Konfigurieren Sie Ihre Rollen-Vertrauensrichtlinie so, dass Amazon Cognito die Rolle nur übernehmen kann, wenn nachgewiesen wird, dass die Anforderung von einem authentifizierten Benutzer in Ihrem spezifischen Identitätspool stammt. Weitere Informationen finden Sie unter [Vertrauensstellungen und Berechtigungen für Rollen](iam-roles.md#role-trust-and-permissions).

1. Geben **Sie in Connect Identity Providers** die Details der Identitätsanbieter (IdPs) ein, die Sie **unter Identitätspool-Trust konfigurieren** ausgewählt haben. Möglicherweise werden Sie aufgefordert, OAuth App-Client-Informationen anzugeben, einen Amazon Cognito Cognito-Benutzerpool auszuwählen, einen IAM-IdP auszuwählen oder eine benutzerdefinierte ID für einen Entwickleranbieter einzugeben.

   1. Wählen Sie die **Rolleneinstellungen** für jeden IdP aus. Sie können Benutzern dieses IdPs die **Standardrolle** zuweisen, die Sie bei der Konfiguration Ihrer **authentifizierten Rolle** eingerichtet haben, oder die **Rolle mit Regeln wählen**. Mit einem Amazon-Cognito-Benutzerpool-IdP können Sie auch eine **Rolle mit preferred\$1role in Token auswählen**. Weitere Informationen zur `cognito:preferred_role`-Anforderung finden Sie unter [Zuweisen von Prioritätswerten zu Gruppen](cognito-user-pools-user-groups.md#assigning-precedence-values-to-groups).

      1. Wenn Sie **Rolle mit Regeln wählen** ausgewählt haben, geben Sie die Quell-**Anforderung** aus der Benutzerauthentifizierung, den **Operator**, mit dem Sie die Anforderung vergleichen möchten, den **Wert**, der zu einer Übereinstimmung mit dieser Rollenauswahl führt, und die **Rolle** ein, die Sie zuweisen möchten, wenn die **Rollenzuweisung** übereinstimmt. Wählen Sie **Weitere hinzufügen** aus, um eine zusätzliche Regel zu erstellen, die auf einer anderen Bedingung basiert.

      1. Wählen Sie eine **Rollenauflösung**. Wenn die Anforderungen Ihres Benutzers nicht Ihren Regeln entsprechen, können Sie Anmeldeinformationen verweigern oder Anmeldeinformationen für Ihre **Authentifizierte Rolle** ausgeben.

   1. Sie können **Attribute für die Zugriffskontrolle** für jeden IdP separat konfigurieren. Attribute für die Zugriffskontrolle ordnen Benutzeranforderungen den [Prinzipal-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) zu, die Amazon Cognito auf die temporäre Sitzung anwendet. Sie können IAM-Richtlinien erstellen, um den Benutzerzugriff anhand der Tags zu filtern, die Sie auf die jeweilige Sitzung anwenden.

      1. Um keine Prinzipal-Tags anzuwenden, wählen Sie **Inaktiv** aus.

      1. Wählen Sie **Standardzuordnungen verwenden**, um Prinzipal-Tags auf der Grundlage von `sub`- und `aud`-Anforderungen anzuwenden.

      1. Um Ihr eigenes benutzerdefiniertes Schema von Attributen für Prinzipal-Tags zu erstellen, wählen Sie **Benutzerdefinierte Zuordnungen verwenden**. Geben Sie dann einen **Tag-Schlüssel** ein, den Sie aus jeder **Anforderung** beziehen möchten, die Sie in einem Tag repräsentieren möchten.

1. Geben Sie unter **Eigenschaften konfigurieren** unter **Identitätspool-Name** einen **Namen** ein.

1. Wählen Sie unter **Standardauthentifizierung (klassische Authentifizierung)** aus, ob Sie den **Standardablauf aktivieren** möchten. Wenn der Basisablauf aktiv ist, können Sie die Rollenauswahl, die Sie für Sie getroffen haben, umgehen und direkt IdPs anrufen. [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) Weitere Informationen finden Sie unter [Identitäten-Pools – Authentifzierungsablauf](authentication-flow.md).

1. Wählen Sie unter **Tags** die Option **Tag hinzufügen** aus, wenn Sie [Tags](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) auf Ihren Identitätspool anwenden möchten.

1. Bestätigen Sie unter **Überprüfen und erstellen** die Auswahl, die Sie für Ihren neuen Identitätspool getroffen haben. Wählen Sie **Bearbeiten**, um zum Assistenten zurückzukehren und Einstellungen zu ändern. Wählen Sie danach **Identitätspool erstellen** aus.

## Einrichten eines SDK
<a name="install-the-mobile-or-javascript-sdk"></a>

Um Amazon Cognito Cognito-Identitätspools zu verwenden, richten Sie AWS Amplify AWS SDK für Java, den oder den SDK für .NET ein. Weitere Informationen finden Sie unter den folgenden Themen.
+ [Die Einrichtung des SDK für finden Sie JavaScript](https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/setting-up.html) im *AWS SDK für JavaScript Entwicklerhandbuch*
+ [Amplify-Dokumentation](https://docs.amplify.aws/) im *Amplify Dev Center*
+ [Anbieter von Amazon-Cognito-Anmeldeinformationen ](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/cognito-creds-provider.html) im *SDK für .NET -Entwicklerhandbuch*

## Integrieren der Identitätsanbieter
<a name="integrate-the-identity-providers"></a>

Amazon-Cognito-Identitätspools (Verbundidentitäten) unterstützen die Benutzerauthentifizierung über Amazon-Cognito-Benutzerpools, verbundene Identitätsanbieter wie Amazon-, Facebook-, Google-, Apple- und SAML-Identitätsanbieter, sowie nicht authentifizierte Identitäten. Diese Funktion unterstützt auch [Entwicklerauthentifizierte Identitäten](developer-authenticated-identities.md), mit denen Sie Benutzer über Ihren eigenen Backend-Authentifizierungsablauf registrieren und authentifizieren können.

Weitere Informationen zur Verwendung eines Amazon-Cognito-Benutzerpools zum Einrichten eines eigenen Benutzerverzeichnisses finden Sie unter [Amazon-Cognito-Benutzerpools](cognito-user-pools.md) und [Zugriff AWS-Services über einen Identitätspool nach der Anmeldung](amazon-cognito-integrating-user-pools-with-identity-pools.md).

Weitere Informationen zur Verwendung von externen Identitätsanbietern erhalten Sie unter [Identitätspools, Identitätsanbieter von Drittanbietern](external-identity-providers.md).

Weitere Informationen zur Integration eines eigenen Backend-Authentifizierungsablaufs finden Sie unter [Entwicklerauthentifizierte Identitäten](developer-authenticated-identities.md).

## Abrufen von Anmeldeinformationen
<a name="get-credentials"></a>

Amazon Cognito Cognito-Identitätspools bieten temporäre AWS Anmeldeinformationen für Benutzer, die Gäste sind (nicht authentifiziert), und für Benutzer, die sich authentifiziert haben und ein Token erhalten haben. Mit diesen AWS Anmeldeinformationen kann Ihre App AWS über Amazon API Gateway sicher auf ein Backend innerhalb AWS oder außerhalb zugreifen. Siehe [Abrufen von Anmeldeinformationen](getting-credentials.md).