As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Banco de identidades do Amazon Cognito
Um banco de identidades do Amazon Cognito é um diretório de identidades federadas que você pode trocar por credenciais da AWS . Os grupos de identidades geram AWS credenciais temporárias para os usuários do seu aplicativo, independentemente de eles terem feito login ou se você ainda não os tiver identificado. Com as funções e políticas AWS Identity and Access Management (IAM), você pode escolher o nível de permissão que deseja conceder aos seus usuários. Os usuários podem começar como convidados e recuperar os ativos mantidos em Serviços da AWS. Depois, podem fazer login com um provedor de identidades de terceiros para desbloquear o acesso aos ativos disponibilizados aos membros registrados. O provedor de identidade terceirizado pode ser um provedor de consumo (social) OAuth 2.0, como Apple SAML ou Google, um provedor personalizado ou de OIDC identidade, ou um esquema de autenticação personalizado, também chamado de provedor de desenvolvedor, criado por você.
Recursos de bancos de identidades do Amazon Cognito
- Assine solicitações para Serviços da AWS
-
Assine API solicitações Serviços da AWS como Amazon Simple Storage Service (Amazon S3) e Amazon DynamoDB. Analise a atividade do usuário com serviços como Amazon Pinpoint e Amazon. CloudWatch
- Filtrar solicitações com políticas baseadas em recurso
-
Exerça um controle detalhado sobre o acesso dos usuários aos seus recursos. Transforme declarações de usuários em tags de IAM sessão e crie IAM políticas que concedam acesso a recursos a subconjuntos distintos de seus usuários.
- Atribuir acesso de convidado
-
Para os usuários que ainda não fizeram login, configure o banco de identidades para gerar credenciais da AWS com um escopo de acesso restrito. Autentique usuários por meio de um provedor de autenticação única para aumentar o acesso deles.
- Atribua IAM funções com base nas características do usuário
-
Atribua uma única IAM função a todos os seus usuários autenticados ou escolha a função com base nas reivindicações de cada usuário.
- Aceitar uma variedade de provedores de identidades
-
Troque um ID ou token de acesso, um token de grupo de usuários, uma SAML declaração ou um OAuth token de provedor social por credenciais. AWS
- Validar suas próprias identidades
-
Faça sua própria validação de usuário e use suas AWS credenciais de desenvolvedor para emitir credenciais para seus usuários.
Talvez você já tenha um grupo de usuários do Amazon Cognito que forneça serviços de autenticação e autorização para sua aplicação. Você pode configurar o grupo de usuários como um provedor de identidades (IdP) para o banco de identidades. Ao fazer isso, seus usuários podem se autenticar por meio de seu grupo de usuários IdPs, consolidar suas reivindicações em um token de OIDC identidade comum e trocar esse token por AWS credenciais. O usuário pode então apresentar as credenciais dele em uma solicitação assinada para os Serviços da AWS.
Você também pode apresentar declarações autenticadas de qualquer um dos provedores de identidades diretamente em seu banco de identidades. O Amazon Cognito personaliza reivindicações de usuários de SAMLOAuth, e OIDC provedores em uma AssumeRoleWithWebIdentityAPIsolicitação de credenciais de curto prazo.
Os grupos de usuários do Amazon Cognito são como provedores de OIDC identidade para seus aplicativos SSO habilitados. Os grupos de identidades atuam como provedores de AWSidentidade para qualquer aplicativo com dependências de recursos que funcionam melhor com IAM autorização.
Os grupos de identidades do Amazon Cognito oferecem suporte aos seguintes provedores de identidade:
-
Provedores públicos: Configurando o Login with Amazon como um IdP de grupos de identidades, Configurando o Facebook como um IdP de grupos de identidades, Configurando o Google como um IdP do pool de identidades, Configurando o Login com a Apple como um IdP do pool de identidades, Twitter.
-
Configurando um OIDC provedor como um IdP do grupo de identidades
-
Configurando um SAML provedor como um IdP do grupo de identidades
Para obter informações sobre a disponibilidade de regiões dos grupos de identidades do Amazon Cognito, consulte Disponibilidade de regiões de serviço da AWS
Para obter mais informações sobre os grupos de identidades do Amazon Cognito, consulte os tópicos a seguir.
Tópicos
- Visão geral do console de grupos de identidades
- Fluxo de autenticação dos grupos de identidades
- IAMfunções
- Melhores práticas de segurança para grupos de identidade do Amazon Cognito
- Usar atributos para controle de acesso
- Controle de acesso com base em perfil
- Como obter credenciais
- Acessando Serviços da AWS com credenciais temporárias
- Grupos de identidades: provedores de identidade de terceiros
- Identidades autenticadas pelo desenvolvedor
- Trocando usuários não autenticados por usuários autenticados
