Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Grupos de identidades de Amazon Cognito
Un grupo de identidades de Amazon Cognito es un directorio de identidades federadas que puede intercambiar por credenciales de AWS . Los grupos de identidades generan AWS credenciales temporales para los usuarios de tu aplicación, tanto si han iniciado sesión como si aún no los has identificado. Con las funciones y políticas de AWS Identity and Access Management (IAM), puedes elegir el nivel de permiso que quieres conceder a tus usuarios. Los usuarios pueden empezar como invitados y recuperar los activos que mantiene en Servicios de AWS. A continuación, pueden iniciar sesión con un proveedor de identidades de terceros para desbloquear el acceso a los activos que pone a disposición de los miembros registrados. El proveedor de identidades externo puede ser un proveedor OAuth 2.0 para consumidores (redes sociales), como Apple o Google, un proveedor de OIDC identidad SAML o personalizado, o un esquema de autenticación personalizado, también denominado proveedor de desarrolladores, diseñado por usted mismo.
Características de los grupos de identidades de Amazon Cognito
- Firma las solicitudes de Servicios de AWS
-
Firme API solicitudes Servicios de AWS como Amazon Simple Storage Service (Amazon S3) y Amazon DynamoDB. Analice la actividad de los usuarios con servicios como Amazon Pinpoint y Amazon. CloudWatch
- Filtrar las solicitudes con políticas basadas en recursos
-
Ejerza un control detallado sobre el acceso de los usuarios a los recursos. Transforma las afirmaciones de los usuarios en etiquetas de IAM sesión y crea IAM políticas que concedan acceso a los recursos a distintos subconjuntos de usuarios.
- Asignar acceso como invitado
-
Para los usuarios que aún no hayan iniciado sesión, configure el grupo de identidades para generar credenciales de AWS con un alcance de acceso limitado. Autentique a los usuarios mediante un único proveedor de inicio de sesión para aumentar el acceso.
- Asigne IAM funciones en función de las características de los usuarios
-
Asigne un único IAM rol a todos los usuarios autenticados o elija el rol en función de las afirmaciones de cada usuario.
- Aceptar una variedad de proveedores de identidad
-
Cambia un identificador o token de acceso, un token de grupo de usuarios, una SAML afirmación o un token de proveedor social OAuth por credenciales. AWS
- Validar las propias identidades
-
Realiza tu propia validación de usuario y usa tus credenciales de desarrollador para emitir AWS credenciales para tus usuarios.
Es posible que ya disponga de un grupo de usuarios de Amazon Cognito que proporcione servicios de autenticación y autorización para la aplicación. Puede configurar el grupo de usuarios como proveedor de identidades (IdP) para el grupo de identidades. Cuando lo haga, sus usuarios podrán autenticarse a través de su grupo de usuarios IdPs, consolidar sus afirmaciones en un token de OIDC identidad común e intercambiar ese token por AWS credenciales. A continuación, el usuario puede presentar las credenciales en una solicitud firmada dirigida a los Servicios de AWS.
También puede presentar las reclamaciones autenticadas de cualquiera de los proveedores de identidad directamente al grupo de identidades. Amazon Cognito personaliza las solicitudes de SAML los usuarios y los OIDC proveedores para convertirlas en una AssumeRoleWithWebIdentityAPIsolicitud de credenciales de corta duración. OAuth
Los grupos de usuarios de Amazon Cognito son como proveedores de OIDC identidad para sus aplicaciones SSO habilitadas. Los grupos de identidades actúan como proveedores de AWSidentidades para cualquier aplicación con dependencias de recursos que funcionen mejor con autorización. IAM
Los grupos de identidades de Amazon Cognito admiten los siguientes proveedores de identidad:
-
Proveedores públicos: Configuración de Login with Amazon como un IdP de grupos de identidades, Configurar Facebook como un IdP de grupos de identidades, Configurar Google como un IdP de grupo de identidades, Configurar el inicio de sesión con Apple como un IdP de grupo de identidades, Twitter.
-
Configurar un OIDC proveedor como un IdP de grupo de identidades
-
Configurar un SAML proveedor como un IdP de grupo de identidades
Para obtener información sobre la disponibilidad regional de los grupos de identidades de Amazon Cognito, consulte Disponibilidad regional del servicio de AWS
Para obtener más información sobre los grupos de identidades de Amazon Cognito, consulte los siguientes temas.
Temas
- Descripción general de la consola de grupos de identidades
- Flujo de autenticación de grupos de identidades
- IAMroles
- Prácticas recomendadas de seguridad para los grupos de identidades de Amazon Cognito
- Uso de atributos para el control de acceso
- Uso del control de acceso basado en roles
- Obtención de credenciales
- Acceder Servicios de AWS con credenciales temporales
- Grupos de identidades y proveedores de identidades de terceros
- Identidades autenticadas por el desarrollador
- Cambiar usuarios no autenticados a usuarios autenticados
