관리자로 사용자 계정 생성 - Amazon Cognito
관리자 또는 개발자가 생성한 사용자에 대한 인증 흐름AWS Management Console에서 새 사용자 생성

관리자로 사용자 계정 생성

사용자 풀은 인터넷에 있는 모든 사용자가 애플리케이션의 사용자 프로필에 등록할 수 있는 고객 ID 및 액세스 관리(CIAM) 사용자 디렉터리일 뿐만 아니라, 사용자 프로필을 등록할 수 있는 곳이기도 합니다. 셀프 서비스 가입을 비활성화할 수 있습니다. 이미 고객을 알고 있으며 미리 승인된 고객만 허용하고 싶을 수도 있습니다. 프라이빗 SAML 2.0 또는 OIDC ID 제공업체를 사용하여, 사용자를 가져오거나, 가입 시 사용자를 선별하거나, 관리 API 작업을 사용하여 사용자를 생성하여 애플리케이션에 수동 인증 가드레일을 설정할 수 있습니다. 사용자를 관리적으로 생성하는 워크플로는 프로그래밍 방식으로 사용자를 다른 시스템에 등록한 후 프로비저닝하거나, Amazon Cognito 콘솔에서 사례별 또는 테스트 기반으로 할 수 있습니다.

사용자를 관리자로 생성할 때 Amazon Cognito는 사용자를 위한 임시 암호를 설정하고 환영 메시지 또는 초대 메시지를 보냅니다. 초대 메시지의 링크를 따라가 처음으로 로그인하고 암호를 설정하고 계정을 확인할 수 있습니다. 다음 페이지에서는 새 사용자를 생성하고 환영 메시지를 구성하는 방법을 설명합니다. 사용자 풀 API 및 AWS SDK 또는 CDK를 사용한 사용자 생성에 대한 자세한 내용은 AdminCreateUser를 참조하세요.

사용자 풀을 생성한 후 AWS Command Line Interface 또는 Amazon Cognito API 뿐만 아니라 AWS Management Console을 사용하여 사용자를 생성할 수 있습니다. 사용자 풀에서 새 사용자에 대한 프로파일을 생성하고, SMS 또는 이메일을 통해 사용자에게 가입 지침이 포함된 환영 메시지를 전송할 수 있습니다.

개발자 및 관리자는 다음 작업을 수행할 수 있습니다.

  • AWS Management Console을 사용하거나 AdminCreateUser API를 호출하여 새 사용자 프로파일을 생성합니다.

  • 사용자 속성 값을 설정합니다.

  • 사용자 지정 속성을 생성합니다.

  • AdminCreateUser API 요청에서 변경할 수 없는 사용자 지정 속성의 값을 설정합니다. 이 기능은 Amazon Cognito 콘솔에서 사용할 수 없습니다.

  • 임시 암호를 지정하거나 Amazon Cognito가 암호를 자동으로 생성하도록 합니다.

  • 제공된 이메일 주소 및 전화 번호가 새 사용자에 대해 확인됨으로 표시되는지 여부를 지정합니다.

  • AWS Management Console 또는 사용자 지정 메시지 Lambda 트리거를 통해 새 사용자에 대한 사용자 지정 SMS 및 이메일 초대 메시지를 지정합니다. 자세한 내용은 Lambda 트리거를 사용하여 사용자 풀 워크플로 사용자 정의 단원을 참조하십시오.

  • 초대 메시지가 SMS, 이메일 또는 둘 다를 통해 전송되는지 여부를 지정합니다.

  • AdminCreateUser API를 호출하고 RESEND 파라미터에 대해 MessageAction를 지정하여 기존 사용자에게 환영 메시지를 재전송합니다.

    참고

    이 작업은 현재 AWS Management Console을 사용하여 수행할 수 없습니다.

  • 사용자가 생성될 때 초대 메시지의 전송을 제한합니다.

  • 사용자 계정에 대한 만료 시간 제한을 지정합니다(최대 90일).

  • 사용자가 직접 가입하거나 관리자가 새 사용자만 추가하도록 합니다.

관리자 또는 개발자가 생성한 사용자에 대한 인증 흐름

이러한 사용자에 대한 인증 흐름에는 새 암호를 제출하고 필수 속성에 대해 누락된 값을 제공하는 추가 단계가 포함되어 있습니다. 이러한 단계는 다음에 설명하며 5, 6 및 7단계가 이러한 사용자에 적용됩니다.

  1. 사용자가 사용자 이름 및 암호를 제출하여 첫 로그인을 시작합니다.

  2. SDK는 InitiateAuth(Username, USER_SRP_AUTH)를 호출합니다.

  3. Amazon Cognito는 솔트 및 암호 블록이 있는 PASSWORD_VERIFIER 문제를 반환합니다.

  4. SDK는 SRP 계산을 수행하며 RespondToAuthChallenge(Username, <SRP variables>, PASSWORD_VERIFIER)를 호출합니다.

  5. Amazon Cognito는 NEW_PASSWORD_REQUIRED 챌린지를 반환합니다. 이 챌린지의 본문에는 사용자의 현재 속성과 현재 사용자 프로파일에 값이 없는 사용자 풀 내 필수 속성이 포함되어 있습니다. 자세한 내용은 RespondToAuthChallenge를 참조하세요.

  6. 메시지가 표시되면 사용자는 새 암호 및 필수 속성에 대해 누락된 값을 입력합니다.

  7. SDK는 RespondToAuthChallenge(Username, <New password>, <User attributes>)를 호출합니다.

  8. 사용자에게 MFA에 대한 두 번째 요소가 필요한 경우 Amazon Cognito는 SMS_MFA 문제를 반환하고 코드가 제출됩니다.

  9. 사용자가 암호와 선택 항목으로 제공된 속성 값 또는 완료된 MFA를 성공적으로 변경하면 사용자가 로그인되고 토큰이 발급됩니다.

사용자가 모든 문제에 대해 만족하면 Amazon Cognito 서비스는 사용자를 확인됨으로 표시하고 해당 사용자에게 ID, 액세스 및 새로 고침 토큰을 발급합니다. 자세한 내용은 사용자 풀 JSON 웹 토큰(JWT) 이해 섹션을 참조하세요.

AWS Management Console에서 새 사용자 생성

Amazon Cognito 콘솔을 사용하여 사용자 암호 요구 사항을 설정하고, 사용자에게 전송되는 초대 및 확인 메시지를 구성하고, 새 사용자를 추가할 수 있습니다.

암호 정책 설정 및 자체 등록 사용

최소 암호 복잡성에 대한 설정과 사용자가 퍼블릭 API를 사용하여 사용자 풀에 가입할 수 있는지 여부를 구성할 수 있습니다.

암호 정책 구성

  1. Amazon Cognito 콘솔로 이동하여, [사용자 풀(User Pools)]을 선택합니다.

  2. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  3. [로그인 환경(Sign-in experience)] 탭을 선택하고 [암호 정책(Password policy)]을 찾습니다. 편집을 선택합니다.

  4. [암호 정책 모드(Password policy mode)]로 [사용자 정의(Custom)]를 선택합니다.

  5. [암호 최소 길이(Password minimum length)]를 선택합니다. 암호 길이 요구 사항에 대한 제한은 사용자 풀 리소스 할당량을 참조하세요.

  6. [암호 복잡성(Password complexity)] 요구 사항을 선택합니다.

  7. 관리자가 설정한 암호가 유효한 기간을 선택합니다.

  8. 변경 사항 저장(Save changes)을 선택합니다.

셀프 서비스 가입 허용

  1. Amazon Cognito 콘솔로 이동하여, [사용자 풀(User Pools)]을 선택합니다.

  2. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  3. [가입 환경(Sign-up experience)] 탭을 선택하고 [셀프 서비스 가입(Self-service sign-up)]을 찾습니다. [편집(Edit)]을 선택합니다.

  4. 자체 등록 사용(Enable self-registration) 여부를 선택합니다. 자체 등록은 일반적으로 클라이언트 암호 또는 AWS Identity and Access Management(IAM) API 자격 증명을 배포하지 않고 사용자 풀에 새 사용자를 등록해야 하는 퍼블릭 앱 클라이언트에서 사용됩니다.

    자체 등록 사용 중지

    자체 등록을 사용하지 않는 경우 IAM API 자격 증명을 사용하는 관리 API 작업 또는 페더레이션 공급자를 사용한 로그인을 통해 새 사용자를 생성해야 합니다.

  5. 변경 사항 저장(Save changes)을 선택합니다.

이메일 및 SMS 메시지 사용자 정의

사용자 메시지 사용자 정의

사용자를 로그인하도록 초대하거나, 사용자가 사용자 계정에 가입하거나, 사용자가 로그인하고 멀티 팩터 인증(MFA) 메시지가 표시될 때 Amazon Cognito가 사용자에게 보내는 메시지를 사용자 정의할 수 있습니다.

참고

[초대 메시지(Invitation message)]는 사용자 풀에 사용자를 생성하고 로그인하도록 초대할 때 전송됩니다. Amazon Cognito는 사용자의 이메일 주소나 전화 번호로 초기 로그인 정보를 전송합니다.

[확인 메시지(Verification message)]는 사용자가 사용자 풀의 사용자 계정에 가입할 때 전송됩니다. Amazon Cognito가 사용자에게 코드를 전송합니다. 사용자는 Amazon Cognito에 코드를 제공할 때 연락처 정보를 검증하고 로그인 계정을 확인합니다. 확인 코드는 24시간 동안 유효합니다.

[MFA 메시지(MFA message)]는 사용자 풀에서 SMS MFA를 사용하도록 설정하고, SMS MFA를 구성한 사용자가 로그인하고 MFA 메시지가 표시될 때 전송됩니다.

  1. Amazon Cognito 콘솔로 이동하여, [사용자 풀(User Pools)]을 선택합니다.

  2. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  3. [메시징(Messaging)] 탭을 선택하고 [메시지 템플릿(Message templates)]을 찾습니다. [확인 메시지(Verification messages)], [초대 메시지(Invitation messages)] 또는 [MFA 메시지(MFA messages)]를 선택한 다음 [편집(Edit)]을 선택합니다.

  4. 선택한 메시지 유형에 맞게 메시지를 사용자 정의합니다.

    참고

    메시지를 사용자 정의할 때 메시지 템플릿의 모든 변수를 포함해야 합니다. 변수(예: {####})를 포함하지 않으면 사용자에게 메시지 작업을 완료하기에 충분한 정보가 없습니다.

    자세한 내용은 메시지 템플릿을 참조하세요.

    1. [확인 메시지(Verification messages)]

      1. [이메일(Email)] 메시지에 대한 [확인 유형(Verification type)]을 선택합니다. [코드(Code)] 확인은 사용자가 입력해야 하는 숫자 코드를 전송합니다. [링크(Link)] 확인은 사용자가 연락처 정보를 확인하기 위해 클릭할 수 있는 링크를 전송합니다. [링크(Link)] 메시지에 대한 변수의 텍스트는 하이퍼링크 텍스트로 표시됩니다. 예를 들어 {##Click here##} 변수를 사용하는 메시지 템플릿은 이메일 메시지에 Click here로 표시됩니다.

      2. [이메일(Email)] 메시지의 [이메일 제목(Email subject)]을 입력합니다.

      3. [이메일(Email)] 메시지용 사용자 정의 [이메일 메시지(Email message)] 템플릿을 입력합니다. HTML을 사용하여 이 템플릿을 사용자 정의할 수 있습니다.

      4. [SMS] 메시지용 사용자 정의 [SMS 메시지(SMS message)] 템플릿을 입력합니다.

      5. 변경 사항 저장(Save changes)을 선택합니다.

    2. [초대 메시지(Invitation messages)]

      1. [이메일(Email)] 메시지의 [이메일 제목(Email subject)]을 입력합니다.

      2. [이메일(Email)] 메시지용 사용자 정의 [이메일 메시지(Email message)] 템플릿을 입력합니다. HTML을 사용하여 이 템플릿을 사용자 정의할 수 있습니다.

      3. [SMS] 메시지용 사용자 정의 [SMS 메시지(SMS message)] 템플릿을 입력합니다.

      4. 변경 사항 저장(Save changes)을 선택합니다.

    3. [MFA 메시지(MFA messages)]

      1. [SMS] 메시지용 사용자 정의 [SMS 메시지(SMS message)] 템플릿을 입력합니다.

      2. 변경 사항 저장(Save changes)을 선택합니다.

사용자 생성

사용자 생성

Amazon Cognito 콘솔에서 사용자 풀의 새 사용자를 생성할 수 있습니다. 일반적으로 사용자는 암호를 설정한 후에 로그인할 수 있습니다. 이메일 주소를 사용하여 로그인하려면 사용자가 email 속성을 확인해야 합니다. 전화 번호를 사용하여 로그인하려면 사용자가 phone_number 속성을 확인해야 합니다. 관리자로 계정을 확인하려면 AWS CLI 또는 API를 사용하거나 페더레이션 자격 증명 공급자를 사용하여 사용자 프로필을 생성합니다. 자세한 내용은 Amazon Cognito API 참조를 참조하세요.

  1. Amazon Cognito 콘솔로 이동하여, [사용자 풀(User Pools)]을 선택합니다.

  2. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  3. 사용자(Users) 탭을 선택한 다음 사용자 생성(Create a user)을 선택합니다.

  4. 사용자 풀에 대한 암호 요구 사항, 사용 가능한 계정 복구 방법 및 별칭 속성에 대한 지침은 사용자 풀 로그인 및 보안 요구 사항(User pool sign-in and security requirements)을 검토합니다.

  5. 초청 메시지(Invitation message)를 보내는 방식을 선택합니다. SMS 메시지와 이메일 메시지 중 하나 또는 둘 다를 선택합니다.

    참고

    초청 메시지를 보내려면 먼저 사용자 풀의 메시징(Messaging) 탭에서 Amazon Simple Notification Service 및 Amazon Simple Email Service를 사용하여 발신자 및 AWS 리전을 구성합니다. 수신자 메시지 및 데이터 요금이 적용됩니다. Amazon SES에서 이메일 메시지를 별도로 청구하며, Amazon SNS에서 SMS 메시지를 별도로 청구합니다.

  6. 새 사용자의 사용자 이름(Username)을 선택합니다.

  7. 사용자에 대해 암호 생성(Create a password)을 직접 수행할지 아니면 Amazon Cognito에서 암호 생성(Generate a password)을 수행하도록 할지를 선택합니다. 임시 암호는 사용자 풀 암호 정책을 준수해야 합니다.

  8. 생성(Create)을 선택합니다.

  9. 사용자(Users) 탭을 선택하고 사용자에 대한 사용자 이름(User name) 항목을 선택합니다. 사용자 속성(User attributes)그룹 멤버십(Group memberships)을 추가하고 편집합니다. 사용자 이벤트 기록(User event history)을 검토합니다.