Kumpulan identitas Amazon Cognito - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kumpulan identitas Amazon Cognito

Kumpulan identitas Amazon Cognito adalah direktori identitas federasi yang dapat Anda tukarkan dengan kredensialnya. AWS Kumpulan identitas menghasilkan AWS kredensil sementara untuk pengguna aplikasi Anda, apakah mereka telah masuk atau Anda belum mengidentifikasinya. Dengan peran dan kebijakan AWS Identity and Access Management (IAM), Anda dapat memilih tingkat izin yang ingin Anda berikan kepada pengguna Anda. Pengguna dapat memulai sebagai tamu dan mengambil aset yang Anda simpan. Layanan AWS Kemudian mereka dapat masuk dengan penyedia identitas pihak ketiga untuk membuka akses ke aset yang Anda sediakan untuk anggota terdaftar. Penyedia identitas pihak ketiga dapat berupa penyedia konsumen (sosial) OAuth 2.0 seperti Apple atau Google, penyedia kustom SAML atau OIDC identitas, atau skema otentikasi khusus, juga disebut penyedia pengembang, dari desain Anda sendiri.

Fitur kumpulan identitas Amazon Cognito
Menandatangani permintaan untuk Layanan AWS

Menandatangani API permintaan untuk Layanan AWS menyukai Amazon Simple Storage Service (Amazon S3) dan Amazon DynamoDB. Analisis aktivitas pengguna dengan layanan seperti Amazon Pinpoint dan Amazon. CloudWatch

Filter permintaan dengan kebijakan berbasis sumber daya

Lakukan kontrol granular atas akses pengguna ke sumber daya Anda. Ubah klaim pengguna menjadi tag IAM sesi, dan buat IAM kebijakan yang memberikan akses sumber daya ke subset pengguna yang berbeda.

Tetapkan akses tamu

Untuk pengguna yang belum masuk, konfigurasikan kumpulan identitas Anda untuk menghasilkan AWS kredensil dengan cakupan akses yang sempit. Mengautentikasi pengguna melalui penyedia masuk tunggal untuk meningkatkan akses mereka.

Tetapkan IAM peran berdasarkan karakteristik pengguna

Tetapkan IAM peran tunggal ke semua pengguna yang diautentikasi, atau pilih peran berdasarkan klaim setiap pengguna.

Menerima berbagai penyedia identitas

Tukarkan ID atau token akses, token kumpulan pengguna, SAML pernyataan, atau token penyedia sosial untuk kredensilOAuth. AWS

Validasi identitas Anda sendiri

Lakukan validasi pengguna Anda sendiri dan gunakan kredensi pengembang Anda untuk mengeluarkan AWS kredensil bagi pengguna Anda.

Anda mungkin sudah memiliki kumpulan pengguna Amazon Cognito yang menyediakan layanan autentikasi dan otorisasi ke aplikasi Anda. Anda dapat mengatur kumpulan pengguna sebagai penyedia identitas (iDP) ke kumpulan identitas Anda. Ketika Anda melakukannya, pengguna Anda dapat mengautentikasi melalui kumpulan pengguna Anda IdPs, mengkonsolidasikan klaim mereka ke dalam token OIDC identitas umum, dan menukar token itu dengan kredensi. AWS Pengguna Anda kemudian dapat menunjukkan kredensialnya dalam permintaan yang ditandatangani kepada Anda. Layanan AWS

Anda juga dapat mengajukan klaim yang diautentikasi dari salah satu penyedia identitas Anda langsung ke kumpulan identitas Anda. Amazon Cognito menyesuaikan klaim pengguna dariSAML,OAuth, dan OIDC penyedia menjadi AssumeRoleWithWebIdentityAPIpermintaan kredensi jangka pendek.

Kumpulan pengguna Amazon Cognito seperti penyedia OIDC identitas untuk aplikasi Anda SSO yang diaktifkan. Kumpulan identitas bertindak sebagai penyedia AWSidentitas untuk aplikasi apa pun dengan dependensi sumber daya yang paling sesuai dengan IAM otorisasi.

Kolam identitas Amazon Cognito mendukung penyedia identitas berikut:

Untuk informasi tentang ketersediaan Wilayah kolam identitas Amazon Cognito, lihat AWS Ketersediaan Wilayah Layanan.

Untuk informasi selengkapnya tentang kolam identitas Amazon Cognito, lihat topik-topik berikut.

Topik