Kumpulan identitas Amazon Cognito

Kumpulan identitas Amazon Cognito adalah direktori identitas federasi yang dapat Anda tukarkan dengan kredensialnya. AWS Kumpulan identitas menghasilkan AWS kredensil sementara untuk pengguna aplikasi Anda, apakah mereka telah masuk atau Anda belum mengidentifikasinya. Dengan peran dan kebijakan AWS Identity and Access Management (IAM), Anda dapat memilih tingkat izin yang ingin Anda berikan kepada pengguna Anda. Pengguna dapat memulai sebagai tamu dan mengambil aset yang Anda simpan. Layanan AWS Kemudian mereka dapat masuk dengan penyedia identitas pihak ketiga untuk membuka akses ke aset yang Anda sediakan untuk anggota terdaftar. Penyedia identitas pihak ketiga dapat berupa penyedia konsumen (sosial) OAuth 2.0 seperti Apple atau Google, penyedia identitas SAM atau OIDC kustom, atau skema otentikasi khusus, juga disebut penyedia pengembang, dari desain Anda sendiri.

Fitur kumpulan identitas Amazon Cognito

Menandatangani permintaan untuk Layanan AWS: Tanda tangani permintaan API untuk Layanan AWS menyukai Amazon Simple Storage Service (Amazon S3) dan Amazon DynamoDB. Analisis aktivitas pengguna dengan layanan seperti Amazon Pinpoint dan Amazon. CloudWatch
Filter permintaan dengan kebijakan berbasis sumber daya: Lakukan kontrol granular atas akses pengguna ke sumber daya Anda. Ubah klaim pengguna menjadi tag sesi IAM, dan buat kebijakan IAM yang memberikan akses sumber daya ke subset pengguna Anda yang berbeda.
Tetapkan akses tamu: Untuk pengguna yang belum masuk, konfigurasikan kumpulan identitas Anda untuk menghasilkan AWS kredensil dengan cakupan akses yang sempit. Mengautentikasi pengguna melalui penyedia masuk tunggal untuk meningkatkan akses mereka.
Tetapkan peran IAM berdasarkan karakteristik pengguna: Tetapkan peran IAM tunggal ke semua pengguna yang diautentikasi, atau pilih peran berdasarkan klaim setiap pengguna.
Terima berbagai penyedia identitas: Tukarkan ID atau token akses, token kumpulan pengguna, pernyataan SAFL, atau token penyedia sosial OAuth untuk kredensil. AWS
Validasi identitas Anda sendiri: Lakukan validasi pengguna Anda sendiri dan gunakan kredensi pengembang Anda untuk mengeluarkan AWS kredensi bagi pengguna Anda.

Anda mungkin sudah memiliki kumpulan pengguna Amazon Cognito yang menyediakan layanan autentikasi dan otorisasi ke aplikasi Anda. Anda dapat mengatur kumpulan pengguna sebagai penyedia identitas (iDP) ke kumpulan identitas Anda. Ketika Anda melakukannya, pengguna Anda dapat mengautentikasi melalui kumpulan pengguna Anda IdPs, mengkonsolidasikan klaim mereka ke dalam token identitas OIDC umum, dan menukar token tersebut dengan kredensil. AWS Pengguna Anda kemudian dapat menunjukkan kredensialnya dalam permintaan yang ditandatangani kepada Anda. Layanan AWS

Anda juga dapat mengajukan klaim yang diautentikasi dari salah satu penyedia identitas Anda langsung ke kumpulan identitas Anda. Amazon Cognito menyesuaikan klaim pengguna dari penyedia SAMP, OAuth, dan OIDC menjadi permintaan API untuk kredensi AssumeRoleWithWebIdentityjangka pendek.

Kumpulan pengguna Amazon Cognito seperti penyedia identitas OIDC ke aplikasi berkemampuan SSO Anda. Kumpulan identitas bertindak sebagai penyedia AWSidentitas untuk aplikasi apa pun dengan dependensi sumber daya yang paling sesuai dengan otorisasi IAM.

Kolam identitas Amazon Cognito mendukung penyedia identitas berikut:

Untuk informasi tentang ketersediaan Wilayah kolam identitas Amazon Cognito, lihat AWS Ketersediaan Wilayah Layanan.

Untuk informasi selengkapnya tentang kolam identitas Amazon Cognito, lihat topik-topik berikut.

Topik

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengkonfigurasi kumpulan identitas