本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Cognito 身份
Amazon Cognito Identity 允许您创建临时的、有限的权限 AWS 凭证,以便在移动和网络应用程序中使用。当您使用 Amazon Cognito Identity 时,请创建身份池,为您的用户创建唯一身份,并使用身份提供商(例如 Login with Amazon、Facebook 和 Google)对他们进行身份验证。您还可以将 Amazon Cognito 身份与您自己的经开发人员验证的身份结合使用。有关更多信息,请参阅 Amazon Cognito Identity。
要使用 Amazon Cognito 身份,请定义与角色关联的 Amazon Cognito 身份池。IAM该IAM角色与一项IAM策略相关联,该策略向您的身份池中的身份授予访问 AWS 资源(如呼叫 AWS 服务)的权限。
Amazon Cognito Identity 可创建未经身份验证的身份和经过身份验证的身份。未经身份验证的身份用于希望在不登录的情况下使用该应用程序的移动或 Web 应用程序中的访客用户。未经身份验证的用户只能获得在与身份池关联的IAM策略中指定的权限。
当您使用经过身份验证的身份时,除了附加到身份池的IAM策略外,还必须将 AWS IoT 策略附加到 Amazon Cognito Identity。要附加 AWS IoT 策略,请使用 AttachPolicyAPI并向 AWS IoT 应用程序的单个用户授予权限。您可以使用该 AWS IoT 策略为特定客户及其设备分配细粒度的权限。
经过身份验证和未经身份验证的用户是不同的身份类型。如果您未将 AWS IoT 策略附加到 Amazon Cognito Identity,则经过身份验证的用户将无法在中进行授权, AWS IoT 并且无法访问 AWS IoT 资源和操作。有关为 Amazon Cognito 身份创建策略的更多信息,请参阅 发布/订阅策略示例 和 使用 Amazon Cognito 身份的授权。