Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Introducción a los grupos de identidades de Amazon Cognito
Los grupos de identidades de Amazon Cognito permiten crear identidades únicas y asignar permisos a los usuarios. Su grupo de identidades puede incorporar identidades de los siguientes tipos de servicios de autenticación:
+ Usuarios de un grupo de usuarios de Amazon Cognito
+ Usuarios que se autentican con proveedores de identidad externos como Facebook, Google, Apple o un OIDC o un proveedor de identidad basado en SAML.
+ Usuarios que se autentican de acuerdo con el proceso de autenticación existente.
Una vez que los usuarios se autentican con su proveedor y presentan la autorización a un grupo de identidades, obtienen AWS credenciales temporales. Las credenciales de los usuarios tienen permisos que se definen para acceder a otros Servicios de AWS.
**Topics**
+ [Creación de un grupo de identidades en Amazon Cognito](#create-identity-pool)
+ [Configurar un SDK](#install-the-mobile-or-javascript-sdk)
+ [Integración de los proveedores de identidad](#integrate-the-identity-providers)
+ [Obtención de credenciales](#get-credentials)
+ [Ejemplo de aplicación para grupos de identidades](getting-started-identity-pools-application.md)
## Creación de un grupo de identidades en Amazon Cognito
Puede crear un grupo de identidades a través de la consola de Amazon Cognito o puede utilizar la ( AWS Command Line Interface CLI) o Amazon Cognito. APIs El siguiente procedimiento es una guía general para crear un nuevo grupo de identidades en la consola. También puede [ir directamente a la consola](https://console.aws.amazon.com/cognito/v2/identity/identity-pools) y seguir la experiencia guiada y el contenido de la ayuda integrada.
**Para crear un grupo de identidades nuevo en la consola**
1. Inicie sesión en la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home) y seleccione **Grupos de identidades**. A fin de asignar permisos a la entidad principal de IAM para que pueda crear y gestionar los recursos de Amazon Cognito, consulte [AWS políticas gestionadas para Amazon Cognito](security-iam-awsmanpol.md). La política de `AmazonCognitoPowerUser` es suficiente para crear grupos de identidades.
1. Elija **Crear grupo de identidades**.
1. En **Configurar confianza de grupo de identidades**, elija configurar el grupo de identidades para el **acceso autenticado**, el **acceso de invitado** o ambos.
1. Si elige **Acceso autenticado**, seleccione uno o más **tipos de identidades** que desee establecer como origen de identidades autenticadas en el grupo de identidades. Si configura un **Proveedor de desarrolladores personalizado**, no podrá modificarlo ni eliminarlo después de crear el grupo de identidades.
1. En **Configurar permisos**, elija un rol de IAM predeterminado para los usuarios autenticados o invitados del grupo de identidades.
1. Elija **Crear un nuevo rol de IAM** si desea que Amazon Cognito cree uno nuevo para usted con permisos básicos y una relación de confianza con el grupo de identidades. Ingrese un **Nombre de rol de IAM** para identificar el nuevo rol, por ejemplo `myidentitypool_authenticatedrole`. Seleccione **Ver documento de política** para revisar los permisos que Amazon Cognito asignará al nuevo rol de IAM.
1. Puede optar por **utilizar una función de IAM existente** si ya tiene una función Cuenta de AWS que desee utilizar. Debe configurar la política de confianza del rol de IAM para incluir `cognito-identity.amazonaws.com`. Configure la política de confianza del rol para que solo permita que Amazon Cognito asuma el rol cuando presente pruebas de que la solicitud proviene de un usuario autenticado del grupo de identidades específico. Para obtener más información, consulte [Confianza y permisos de rol](iam-roles.md#role-trust-and-permissions).
1. En **Connect Identity Providers**, introduzca los detalles de los proveedores de identidad (IdPs) que eligió en **Configurar la confianza del grupo de identidades**. Es posible que se le pida que proporcione información sobre el cliente de la OAuth aplicación, que elija un grupo de usuarios de Amazon Cognito, que elija un IDP de IAM o que introduzca un identificador personalizado para un proveedor de desarrolladores.
1. Elija la **Configuración del rol** para cada IdP. Puede asignar a los usuarios de ese IdP el **Rol predeterminado** que configuró al configurar el **Rol autenticado** o puede **Elegir el rol con reglas**. Con un IdP del grupo de usuarios de Amazon Cognito, también puede **Elegir un rol con preferred\_role en los tokens**. Para obtener más información acerca de la reclamación de `cognito:preferred_role`, consulte [Asignación de valores de prioridad a los grupos](cognito-user-pools-user-groups.md#assigning-precedence-values-to-groups).
1. Si ha seleccionado **Elegir un rol con reglas**, introduzca la **Reclamación** de origen de la autenticación del usuario, el **Operador** que desea usar para comparar la reclamación, el **Valor** que hará que coincida con esta elección de rol y el **Rol** que desea asignar cuando la **Asignación de roles** coincida. Seleccione **Agregar otra** para crear una regla adicional en función de una condición diferente.
1. Elija una **Resolución de rol**. Cuando las reclamaciones del usuario no coinciden con las reglas, puede denegar las credenciales o emitir credenciales para el **Rol autenticado**.
1. Configure **Atributos para el control de acceso** para cada IdP. Los atributos del control de acceso asignan las reclamaciones de los usuarios a las [Etiquetas de las entidades principales](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) que Amazon Cognito aplica a la sesión temporal. Puede crear políticas de IAM para filtrar el acceso de los usuarios en función de las etiquetas que aplique a la sesión.
1. Para no aplicar ninguna etiqueta de entidad principal, elija **Inactivo**.
1. Para aplicar etiquetas de entidades principales en función de las reclamaciones `sub` y `aud`, elija **Usar mapeos predeterminados**.
1. Para crear su propio esquema personalizado de atributos para las etiquetas de la entidades principales, elija **Usar mapeos personalizados**. A continuación, ingrese una **Clave de etiqueta** que desee obtener de cada **Reclamación** que desee representar en una etiqueta.
1. En **Configurar propiedades**, ingrese un **Nombre** en **Nombre de grupo de identidades**.
1. En **Autenticación básica (clásica)**, elija si desea **Activar el flujo básico**. Con el flujo básico activo, puede omitir las funciones que ha seleccionado para usted IdPs y llamar directamente. [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) Para obtener más información, consulte [Flujo de autenticación de grupos de identidades](authentication-flow.md).
1. En **Etiquetas**, elija **Agregar etiqueta** si quiere aplicar [etiquetas](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) al grupo de identidades.
1. En **Revisar y crear**, confirme las selecciones que realizó para el nuevo grupo de identidades. Seleccione **Editar** para volver al asistente y cambiar cualquier configuración. Cuando haya acabado, seleccione **Crear grupo de identidades**.
## Configurar un SDK
Para usar los grupos de identidades de Amazon Cognito, configure AWS Amplify AWS SDK para Java, el o el. SDK para .NET Para obtener más información, consulte los siguientes temas.
+ [Cómo configurar el SDK de JavaScript la Guía para AWS SDK para JavaScript](https://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/setting-up.html) *desarrolladores*
+ [Documentación de Amplify](https://docs.amplify.aws/) en el *Amplify Dev Center*
+ [Proveedor de credenciales de Amazon Cognito](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/cognito-creds-provider.html) en la *Guía para desarrolladores de SDK para .NET *
## Integración de los proveedores de identidad
Los grupos de identidades de Amazon Cognito (identidades federadas) admiten la autenticación de usuarios mediante grupos de usuarios de Amazon Cognito, proveedores de identidad federadas (como Amazon, Facebook, Google, Apple y proveedores de identidad SAML) e identidades sin autenticar. Esta característica también es compatible con [Identidades autenticadas por el desarrollador](developer-authenticated-identities.md), que le permite registrar y autenticar usuarios siguiendo su propio proceso de autenticación de backend.
Si desea obtener más información sobre el uso de un grupo de usuarios de Amazon Cognito para crear su propio directorio de usuarios, consulte [Grupos de usuarios de Amazon Cognito](cognito-user-pools.md) y [Acceder Servicios de AWS mediante un grupo de identidades después de iniciar sesión](amazon-cognito-integrating-user-pools-with-identity-pools.md).
Para obtener más información acerca del uso de proveedores de identidad externos, consulte [Proveedores de identidades de terceros de grupos de identidades](external-identity-providers.md).
Para obtener más información acerca de la integración de su propio proceso de autenticación de backend, consulte [Identidades autenticadas por el desarrollador](developer-authenticated-identities.md).
## Obtención de credenciales
Los grupos de identidades de Amazon Cognito proporcionan AWS credenciales temporales para los usuarios que son invitados (sin autenticar) y para los usuarios que se han autenticado y recibido un token. Con esas AWS credenciales, su aplicación puede acceder de forma segura a un backend interno AWS o externo AWS a través de Amazon API Gateway. Consulte [Obtención de credenciales](getting-credentials.md).