Banco de identidades do Amazon Cognito
Um banco de identidades do Amazon Cognito é um diretório de identidades federadas que você pode trocar por credenciais da AWS. Os bancos de identidades geram credenciais temporárias da AWSpara os usuários da aplicação, independentemente de eles terem feito login ou de ainda não terem sido identificados. Com perfis e políticas do AWS Identity and Access Management (IAM), é possível selecionar o nível de permissão que deseja conceder aos usuários. Os usuários podem começar como convidados e recuperar os ativos mantidos em Serviços da AWS. Depois, podem fazer login com um provedor de identidades de terceiros para desbloquear o acesso aos ativos disponibilizados aos membros registrados. O provedor de identidades de terceiros pode ser um provedor de OAuth 2.0 para consumidores (sociais), como Apple ou Google, um provedor de identidades SAML ou OIDC personalizado ou um esquema de autenticação personalizado, também chamado de provedor de desenvolvedor, criado por você.
Recursos de bancos de identidades do Amazon Cognito
- Assinar solicitações para Serviços da AWS
-
Assine solicitações de API para Serviços da AWS, como o Amazon Simple Storage Service (Amazon S3) e o Amazon DynamoDB. Analise a atividade do usuário com serviços como o Amazon Pinpoint e o Amazon CloudWatch.
- Filtrar solicitações com políticas baseadas em recurso
-
Exerça um controle detalhado sobre o acesso dos usuários aos seus recursos. Transforme declarações de usuários em tags de sessão do IAM e crie políticas do IAM que concedam acesso de recursos a subconjuntos distintos de usuários.
- Atribuir acesso de convidado
-
Para os usuários que ainda não fizeram login, configure o banco de identidades para gerar credenciais da AWS com um escopo de acesso restrito. Autentique usuários por meio de um provedor de autenticação única para aumentar o acesso deles.
- Atribuir perfis do IAM com base nas características do usuário
-
Atribua um único perfil do IAM a todos os usuários autenticados ou selecione o perfil com base nas declarações de cada um.
- Aceitar uma variedade de provedores de identidades
-
Troque um ID ou token de acesso, um token de grupo de usuários, uma declaração SAML ou um token OAuth de provedor social por credenciais do AWS.
- Validar suas próprias identidades
-
Faça sua própria validação de usuário e use suas credenciais de desenvolvedor da AWS para emitir credenciais para os usuários.
Talvez você já tenha um grupo de usuários do Amazon Cognito que forneça serviços de autenticação e autorização para sua aplicação. Você pode configurar o grupo de usuários como um provedor de identidades (IdP) para o banco de identidades. Ao fazer isso, os usuários podem se autenticar por meio dos IdPs do grupo de usuários, consolidar as declarações em um token de identidade OIDC comum e trocar esse token por credenciais da AWS. O usuário pode então apresentar as credenciais dele em uma solicitação assinada para os Serviços da AWS.
Você também pode apresentar declarações autenticadas de qualquer um dos provedores de identidades diretamente em seu banco de identidades. O Amazon Cognito personaliza declarações de usuários de provedores SAML, OAuth e OIDC em uma solicitação da API AssumeRoleWithWebIdentity para credenciais de curto prazo.
Os grupos de usuários do Amazon Cognito são como provedores de identidades OIDC para suas aplicações habilitadas para SSO. Os bancos de identidades funcionam como um provedor de identidades da AWS para qualquer aplicação com dependências de recursos que funcionam melhor com a autorização do IAM.
Os grupos de identidades do Amazon Cognito oferecem suporte aos seguintes provedores de identidade:
-
Provedores públicos: Configurar o Login with Amazon como um IdP de bancos de identidades, Configurar o Facebook como um IdP de bancos de identidades, Configurar o Google como um IdP do banco de identidades, Configurar o Login com a Apple como um IdP do banco de identidades, Twitter.
-
Configurar um provedor OIDC como um IdP do banco de identidades
-
Configurar um provedor SAML como um IdP do banco de identidades
Para obter informações sobre a disponibilidade de regiões dos grupos de identidades do Amazon Cognito, consulte Disponibilidade de regiões de serviço da AWS
Para obter mais informações sobre os grupos de identidades do Amazon Cognito, consulte os tópicos a seguir.
Tópicos
- Visão geral do console de bancos de identidades
- Fluxo de autenticação dos bancos de identidades
- Perfis do IAM
- Práticas recomendadas de segurança para bancos de identidades do Amazon Cognito
- Usar atributos para controle de acesso
- Controle de acesso com base em perfil
- Como obter credenciais
- Acessar os Serviços da AWS com credenciais temporárias
- Bancos de identidades: provedores de identidade de terceiros
- Identidades autenticadas pelo desenvolvedor
- Alternar usuários não autenticados para usuários autenticados