Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Grupos de identidades de Amazon Cognito
Un grupo de identidades de Amazon Cognito es un directorio de identidades federadas que puede intercambiar por credenciales de AWS . Los grupos de identidades generan AWS credenciales temporales para los usuarios de tu aplicación, tanto si han iniciado sesión como si aún no los has identificado. Con las funciones y políticas AWS Identity and Access Management (de IAM), puedes elegir el nivel de permiso que quieres conceder a tus usuarios. Los usuarios pueden empezar como invitados y recuperar los activos que mantiene en Servicios de AWS. A continuación, pueden iniciar sesión con un proveedor de identidades de terceros para desbloquear el acceso a los activos que pone a disposición de los miembros registrados. El proveedor de identidades de terceros puede ser un proveedor de OAuth 2.0 de consumo (social) como Apple o Google, un proveedor de identidades SAML u OIDC personalizado o un esquema de autenticación personalizado, también denominado proveedor de desarrolladores, diseñado por usted mismo.
Características de los grupos de identidades de Amazon Cognito
- Firma las solicitudes de Servicios de AWS
-
Firme solicitudes de API Servicios de AWS como Amazon Simple Storage Service (Amazon S3) y Amazon DynamoDB. Analice la actividad de los usuarios con servicios como Amazon Pinpoint y Amazon. CloudWatch
- Filtrar las solicitudes con políticas basadas en recursos
-
Ejerza un control detallado sobre el acceso de los usuarios a los recursos. Transforme las reclamaciones de los usuarios en Etiquetas de sesión de IAM y cree políticas de IAM que concedan acceso a los recursos a distintos subconjuntos de los usuarios.
- Asignar acceso como invitado
-
Para los usuarios que aún no hayan iniciado sesión, configure el grupo de identidades para generar credenciales de AWS con un alcance de acceso limitado. Autentique a los usuarios mediante un único proveedor de inicio de sesión para aumentar el acceso.
- Asignar roles de IAM en función de las características del usuario
-
Asigne un solo rol de IAM a todos los usuarios autenticados o elija el rol en función de las reclamaciones de cada usuario.
- Aceptar una variedad de proveedores de identidad
-
Cambie un identificador o un token de acceso, un token de grupo de usuarios, una afirmación de SAML o un token de OAuth de un proveedor social por credenciales. AWS
- Validar las propias identidades
-
Realiza tu propia validación de usuario y usa tus credenciales de desarrollador para emitir AWS credenciales para tus usuarios.
Es posible que ya disponga de un grupo de usuarios de Amazon Cognito que proporcione servicios de autenticación y autorización para la aplicación. Puede configurar el grupo de usuarios como proveedor de identidades (IdP) para el grupo de identidades. Cuando lo haga, sus usuarios podrán autenticarse a través de su grupo de usuarios IdPs, consolidar sus afirmaciones en un token de identidad común del OIDC e intercambiar ese token por credenciales. AWS A continuación, el usuario puede presentar las credenciales en una solicitud firmada dirigida a los Servicios de AWS.
También puede presentar las reclamaciones autenticadas de cualquiera de los proveedores de identidad directamente al grupo de identidades. Amazon Cognito personaliza las reclamaciones de los usuarios de los proveedores de SAML, OAuth y OIDC en una solicitud de API para credenciales a corto plazo. AssumeRoleWithWebIdentity
Los grupos de usuarios de Amazon Cognito son como los proveedores de identidades de OIDC para las aplicaciones habilitadas para SSO. Los grupos de identidades actúan como un proveedor de identidades de AWS para cualquier aplicación cuyas dependencias de recursos funcionen mejor con la autorización de IAM.
Los grupos de identidades de Amazon Cognito admiten los siguientes proveedores de identidad:
-
Proveedores públicos: Configuración de Login with Amazon como un IdP de grupos de identidades, Configurar Facebook como un IdP de grupos de identidades, Configurar Google como un IdP de grupo de identidades, Configurar el inicio de sesión con Apple como un IdP de grupo de identidades, Twitter.
-
Configurar un OIDC proveedor como un IdP de grupo de identidades
-
Configurar un SAML proveedor como un IdP de grupo de identidades
-
Identidades autenticadas por el desarrollador (grupos de identidades)
Para obtener información sobre la disponibilidad regional de los grupos de identidades de Amazon Cognito, consulte Disponibilidad regional del servicio de AWS
Para obtener más información sobre los grupos de identidades de Amazon Cognito, consulte los siguientes temas.
Temas
- Uso de grupos de identidades (identidades federadas)
- Conceptos de grupos de identidades
- Prácticas recomendadas de seguridad para los grupos de identidades de Amazon Cognito
- Uso de atributos para el control de acceso
- Uso del control de acceso basado en roles
- Obtención de credenciales
- Acceder a AWS los servicios
- Proveedores de identidad externos de grupos de identidades
- Identidades autenticadas por el desarrollador (grupos de identidades)
- Cambio de los usuarios sin autenticar a los usuarios autenticados (Grupos de identidades)
