Amazon Cognito アイデンティティプール - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Cognito アイデンティティプール

Amazon Cognito アイデンティティプールは、 AWS  認証情報と交換できるフェデレーションアイデンティティのディレクトリです。ID プールは、サインインしているか、まだ識別していないかにかかわらず、アプリケーションのユーザーに一時的な AWS 認証情報を生成します。 AWS Identity and Access Management (IAM) ロールとポリシーを使用すると、ユーザーに付与するアクセス許可のレベルを選択できます。ユーザーはゲストとしてスタートし、 AWS のサービス で保管しているアセットを取得できます。その後、サードパーティー ID プロバイダーにサインインして、登録メンバーに提供したアセットへのアクセスをロック解除できます。サードパーティー ID プロバイダーは、Apple や Google などのコンシューマー (ソーシャル) OAuth 2.0 プロバイダー、カスタムSAMLまたは OIDC ID プロバイダー、または独自の設計の開発者プロバイダー とも呼ばれるカスタム認証スキームです。

Amazon Cognito アイデンティティプールの機能
の署名リクエスト AWS のサービス

Amazon Simple Storage Service (Amazon S3) や Amazon DynamoDB AWS のサービス などの にAPIリクエストに署名します。Amazon Pinpoint や Amazon などの サービスを使用してユーザーアクティビティを分析します CloudWatch。

リソースベースのポリシーを使用してリクエストをフィルタリングする

リソースへのユーザーアクセスをきめ細かに制御します。ユーザークレームをIAMセッションタグ に変換し、ユーザーの個別のサブセットへのリソースアクセスを許可するIAMポリシーを構築します。

ゲストアクセスを割り当てる

まだサインインしていないユーザーの場合は、アクセス範囲の狭い  AWS  認証情報を生成するようにアイデンティティプールを設定します。シングルサインオンプロバイダーを通じてユーザーを認証し、アクセスを強化します。

ユーザー特性に基づいてIAMロールを割り当てる

認証されたすべてのユーザーに 1 つのIAMロールを割り当てるか、各ユーザーのクレームに基づいてロールを選択します。

さまざまな ID プロバイダーを受け入れる

ID またはアクセストークン、ユーザープールトークン、SAMLアサーション、またはソーシャルプロバイダーOAuthトークンを AWS 認証情報と交換します。

自分のアイデンティティを検証する

独自のユーザー検証を実行し、デベロッパー AWS 認証情報を使用してユーザーの認証情報を発行します。

アプリに認証および認可サービスを提供する Amazon Cognito ユーザープールがすでにある場合があります。ユーザープールは ID プロバイダー (IdP) としてユーザープールに設定できます。これを行うと、ユーザーはユーザープール を介して認証し IdPs、クレームを共通の OIDC ID トークンに統合し、そのトークンを AWS 認証情報と交換できます。その後、ユーザーは署名付きのリクエストで認証情報を  AWS のサービス に提示できます。

また、任意の ID プロバイダーからの認証済みクレームをアイデンティティプールに直接提示することもできます。Amazon Cognito はSAML、、OAuth、および OIDCプロバイダーからのユーザークレームを短期認証情報のAssumeRoleWithWebIdentityAPIリクエストにカスタマイズします。

Amazon Cognito ユーザープールは、 SSOが有効なアプリの OIDC ID プロバイダーのようなものです。ID プールは、IAM認証に最も適したリソース依存関係を持つアプリケーションの AWS ID プロバイダーとして機能します。

Amazon Cognito ID プールは、以下の ID プロバイダーをサポートします。

Amazon Cognito ID プールを利用できるリージョンの詳細については、「AWS リージョン別のサービス」を参照してください。

Amazon Cognito ID プールの詳細については、以下のトピックを参照してください。