翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Cognito アイデンティティプール
Amazon Cognito アイデンティティプールは、 AWS 認証情報と交換できるフェデレーションアイデンティティのディレクトリです。ID プールは、サインインしているか、まだ識別していないかにかかわらず、アプリケーションのユーザーに一時的な AWS 認証情報を生成します。 AWS Identity and Access Management (IAM) ロールとポリシーを使用すると、ユーザーに付与するアクセス許可のレベルを選択できます。ユーザーはゲストとしてスタートし、 AWS のサービス で保管しているアセットを取得できます。その後、サードパーティー ID プロバイダーにサインインして、登録メンバーに提供したアセットへのアクセスをロック解除できます。サードパーティー ID プロバイダーは、Apple や Google などのコンシューマー (ソーシャル) OAuth 2.0 プロバイダー、カスタムSAMLまたは OIDC ID プロバイダー、または独自の設計の開発者プロバイダー とも呼ばれるカスタム認証スキームです。
Amazon Cognito アイデンティティプールの機能
- の署名リクエスト AWS のサービス
-
Amazon Simple Storage Service (Amazon S3) や Amazon DynamoDB AWS のサービス などの にAPIリクエストに署名します。Amazon Pinpoint や Amazon などの サービスを使用してユーザーアクティビティを分析します CloudWatch。
- リソースベースのポリシーを使用してリクエストをフィルタリングする
-
リソースへのユーザーアクセスをきめ細かに制御します。ユーザークレームをIAMセッションタグ に変換し、ユーザーの個別のサブセットへのリソースアクセスを許可するIAMポリシーを構築します。
- ゲストアクセスを割り当てる
-
まだサインインしていないユーザーの場合は、アクセス範囲の狭い AWS 認証情報を生成するようにアイデンティティプールを設定します。シングルサインオンプロバイダーを通じてユーザーを認証し、アクセスを強化します。
- ユーザー特性に基づいてIAMロールを割り当てる
-
認証されたすべてのユーザーに 1 つのIAMロールを割り当てるか、各ユーザーのクレームに基づいてロールを選択します。
- さまざまな ID プロバイダーを受け入れる
-
ID またはアクセストークン、ユーザープールトークン、SAMLアサーション、またはソーシャルプロバイダーOAuthトークンを AWS 認証情報と交換します。
- 自分のアイデンティティを検証する
-
独自のユーザー検証を実行し、デベロッパー AWS 認証情報を使用してユーザーの認証情報を発行します。
アプリに認証および認可サービスを提供する Amazon Cognito ユーザープールがすでにある場合があります。ユーザープールは ID プロバイダー (IdP) としてユーザープールに設定できます。これを行うと、ユーザーはユーザープール を介して認証し IdPs、クレームを共通の OIDC ID トークンに統合し、そのトークンを AWS 認証情報と交換できます。その後、ユーザーは署名付きのリクエストで認証情報を AWS のサービス に提示できます。
また、任意の ID プロバイダーからの認証済みクレームをアイデンティティプールに直接提示することもできます。Amazon Cognito はSAML、、OAuth、および OIDCプロバイダーからのユーザークレームを短期認証情報のAssumeRoleWithWebIdentityAPIリクエストにカスタマイズします。
Amazon Cognito ユーザープールは、 SSOが有効なアプリの OIDC ID プロバイダーのようなものです。ID プールは、IAM認証に最も適したリソース依存関係を持つアプリケーションの AWS ID プロバイダーとして機能します。
Amazon Cognito ID プールは、以下の ID プロバイダーをサポートします。
Amazon Cognito ID プールを利用できるリージョンの詳細については、「AWS リージョン別のサービス
Amazon Cognito ID プールの詳細については、以下のトピックを参照してください。