Amazon Cognito

Amazon Cognito는 웹 및 모바일 앱에 대한 인증, 권한 부여 및 사용자 관리를 제공한다. 사용자는 사용자 이름과 암호를 사용하여 로그인 하거나 Facebook, Google, Apple 같은 소셜 로그인도 할 수 있다.

Amazon Cognito의 두 가지 주요 구성 요소는 사용자 풀과 자격 증명 풀이다.

사용자 풀은 앱 사용자의 가입 및 로그인 옵션을 제공하는 사용자 디렉토리다.

자격 증명 풀을 통해 기타 AWS 서비스에 대한 사용자 액세스 권한을 부여할 수 있다.

두 풀을 별도로 또는 함께 사용할 수 있다.

• 시나리오 다이어그램
  

목표 : 사용자 인증 이후 다른 AWS 서비스에 대한 사용자 액세스 권한 부여

1. 앱 사용자는 사용자 풀을 통해 로그인 하여 인증 성공 이후 사용자 풀 토큰을 받는다

2. 앱은 자격 증명 풀을 통해 사용자 풀 토큰을 AWS 자격 증명으로 교환한다

3. 마지막으로 앱 사용자는 AWS 자격 증명을 사용하여 Amazon S3 또는 Dynamo DB 등 기타 AWS 서비스에 액세스 할 수 있다.

Amazon Cognito의 특징

• 사용자 풀

사용자는 Amazon Cognito를 통해, 또는 타사 자격 증명 공급자(IdP) 를 통해 연동하여 웹 또는 모바일 앱에 로그인 할 수 있다. 사용자가 직접 또는 타사를 통해 로그인하는지 여부와 무관하게 사용자 풀의 모든 멤버는 디렉토리 프로필을 보유하고, SDK를 통해 이를 액세스 할 수 있다.

• 사용자 풀 제공사항

가입 및 로그인 서비스.

사용자 로그인을 위한 내장 사용자 지정 웹 UI

Facebook, Google, Login with Amazon 및 Sign in with Apple을 통한 소셜 로그인 및 사용자 풀의 SAML 및 OIDC 자격 증명 공급자를 통한 로그인.

사용자 디렉터리 관리 및 사용자 프로필.

멀티 팩터 인증(MFA), 이상 있는 자격 증명 확인, 계정 탈취 보호, 전화 및 이메일 확인과 같은 보안 기능.

AWS Lambda 트리거를 통한 사용자 지정 워크플로우 및 사용자 마이그레이션.

• 자격 증명 풀

자격 증명 풀로 사용자는 임시 AWS 자격 증명을 얻어 Amazon S3 및 DynamoDB 등과 같은 다른 AWS 서비스에 액세스할 수 있다. 자격 증명 풀은 익명 게스트 사용자는 물론 자격 증명에 대한 사용자 인증에 사용할 수 있는 다음 자격 증명 공급자를 지원한다.

사용자 프로필 정보를 저장하려면 자격 증명 풀이 사용자 풀에 통합되어야 한다.