Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Skenario Amazon Cognito yang umum

Topik ini menjelaskan enam senario umum untuk menggunakan Amazon Cognito.

Dua komponen utama Amazon Cognito adalah kumpulan pengguna dan kumpulan identitas. Kolam pengguna adalah direktori pengguna yang menyediakan opsi pendaftaran dan masuk bagi pengguna aplikasi web dan seluler Anda. Identity pool menyediakan AWS kredensi sementara untuk memberikan pengguna Anda akses ke yang lain. Layanan AWS

Kolam pengguna adalah direktori pengguna di Amazon Cognito. Pengguna aplikasi Anda dapat masuk langsung melalui kumpulan pengguna, atau mereka dapat melakukan federasi melalui penyedia identitas pihak ketiga (iDP). Kumpulan pengguna mengelola overhead penanganan token yang dikembalikan dari login sosial melalui Facebook, Google, Amazon, dan Apple, dan dari OpenID Connect () dan. OIDC SAML IdPs Baik pengguna Anda masuk secara langsung atau melalui pihak ketiga, semua anggota kumpulan pengguna memiliki profil direktori yang dapat Anda akses melalui fileSDK.

Dengan kumpulan identitas, pengguna Anda dapat memperoleh AWS kredensi sementara untuk mengakses AWS layanan, seperti Amazon S3 dan DynamoDB. Identity pool mendukung pengguna tamu anonim, serta federasi melalui pihak ketiga IdPs.

Otentikasi dengan kumpulan pengguna

Anda dapat mengaktifkan pengguna untuk melakukan autentikasi dengan kolam pengguna. Pengguna aplikasi Anda dapat masuk langsung melalui kumpulan pengguna, atau mereka dapat melakukan federasi melalui penyedia identitas pihak ketiga (iDP). Kumpulan pengguna mengelola overhead penanganan token yang dikembalikan dari login sosial melalui Facebook, Google, Amazon, dan Apple, dan dari OpenID Connect () dan. OIDC SAML IdPs

Setelah autentikasi berhasil, aplikasi web atau seluler Anda akan menerima token kolam pengguna dari Amazon Cognito. Anda dapat menggunakan token tersebut untuk mengambil AWS kredensil yang memungkinkan aplikasi mengakses AWS layanan lain, atau Anda dapat memilih untuk menggunakannya untuk mengontrol akses ke sumber daya sisi server, atau ke Amazon Gateway. API

Untuk informasi selengkapnya, silakan lihat Alur otentikasi kumpulan pengguna dan Memahami token JSON web kumpulan pengguna (JWTs).

Akses sumber daya back-end dengan token kumpulan pengguna

Setelah berhasil masuk ke kolam pengguna, aplikasi web atau seluler Anda akan menerima token kolam pengguna dari Amazon Cognito. Anda dapat menggunakan token tersebut untuk mengontrol akses ke sumber daya sisi server Anda. Anda juga dapat membuat grup kolam pengguna untuk mengelola izin, dan untuk mewakili berbagai jenis pengguna. Untuk informasi selengkapnya tentang penggunaan grup untuk mengontrol akses ke sumber daya Anda, lihatMenambahkan grup ke kumpulan pengguna.

Setelah mengonfigurasi domain untuk kumpulan pengguna, Amazon Cognito menyediakan UI web yang dihosting yang memungkinkan Anda menambahkan halaman pendaftaran dan login ke aplikasi. Dengan menggunakan foundation OAuth 2.0 ini, Anda dapat membuat server sumber daya Anda sendiri untuk memungkinkan pengguna mengakses sumber daya yang dilindungi. Untuk informasi selengkapnya, lihat Cakupan, M2M, dan APIs dengan server sumber daya.

Untuk informasi selengkapnya tentang autentikasi kumpulan pengguna, lihat Alur otentikasi kumpulan pengguna danMemahami token JSON web kumpulan pengguna (JWTs).

Akses sumber daya dengan API Gateway dan Lambda dengan kumpulan pengguna

Anda dapat mengaktifkan pengguna Anda untuk mengakses API melalui API Gateway Anda. APIGateway memvalidasi token dari otentikasi kumpulan pengguna yang berhasil, dan menggunakannya untuk memberi pengguna Anda akses ke sumber daya termasuk fungsi Lambda, atau milik Anda sendiri. API

Anda dapat menggunakan grup dalam kumpulan pengguna untuk mengontrol izin dengan API Gateway dengan memetakan keanggotaan grup ke IAM peran. Grup yang merupakan anggota pengguna disertakan dalam token ID yang disediakan oleh kolam pengguna saat pengguna aplikasi Anda masuk. Untuk informasi selengkapnya tentang Gup kolam pengguna, lihat Menambahkan grup ke kumpulan pengguna.

Anda dapat mengirimkan token kumpulan pengguna Anda dengan permintaan ke API Gateway untuk verifikasi oleh fungsi Lambda otorisasi Amazon Cognito. Untuk informasi selengkapnya tentang API Gateway, lihat Menggunakan API Gateway dengan kumpulan pengguna Amazon Cognito.

Akses AWS layanan dengan kumpulan pengguna dan kolam identitas

Setelah autentikasi kolam pengguna yang sukses, aplikasi Anda akan menerima token kolam pengguna dari Amazon Cognito. Anda dapat menukarnya dengan akses sementara ke AWS layanan lain dengan kumpulan identitas. Untuk informasi selengkapnya, silakan lihat Mengakses Layanan AWS menggunakan kumpulan identitas setelah masuk dan Memulai dengan kumpulan identitas Amazon Cognito.

Mengautentikasi dengan pihak ketiga dan mengakses AWS layanan dengan kumpulan identitas

Anda dapat mengaktifkan akses pengguna ke AWS layanan melalui kumpulan identitas. Kolam identitas memerlukan token IdP dari pengguna yang diautentikasi oleh penyedia identitas pihak ketiga (atau tidak ada jika tamu anonim). Sebagai gantinya, kumpulan identitas memberikan AWS kredensi sementara yang dapat Anda gunakan untuk mengakses layanan lain. AWS Untuk informasi selengkapnya, lihat Memulai dengan kumpulan identitas Amazon Cognito.

Akses AWS AppSync sumber daya dengan Amazon Cognito

Anda dapat memberi pengguna akses ke AWS AppSync sumber daya dengan token dari autentikasi kumpulan pengguna Amazon Cognito yang berhasil. Untuk informasi selengkapnya, lihat AMAZON_COGNITO_USER_POOLS otorisasi di Panduan AWS AppSync Pengembang.

Anda juga dapat menandatangani permintaan ke AWS AppSync API GraphQL dengan kredenal IAM yang Anda terima dari kumpulan identitas. Lihat AWS_IAMotorisasi.