Amazon Cognito 为您的 Web 和移动应用程序提供身份验证、授权和用户管理。您的用户可使用用户名和密码直接登录,也可以通过第三方(例如 Facebook、Amazon、Google 或 Apple)登录。
Amazon Cognito 的两个主要组件是用户池(注册登录选项)和身份池(授予用户访问其他AWS服务的权限)
Amazon Cognito 用户池和身份池配合使用
有关常见 Amazon Cognito 场景,请参阅图表。在这里,目标是验证用户身份,然后授予用户访问其他AWS服务。
-
在第一步中,您的应用程序用户通过用户池登录,并在成功进行身份验证后收到用户池令牌。
-
接下来,您的应用程序将用户池令牌交换AWS凭证。
-
最后,您的应用程序用户可以使用这些AWS凭证来访问其他AWS服务,例如 Amazon S3 或 DynamoDB。
有关使用身份池和用户池的更多示例,请参阅Amazon Cognito 常见场景。
Amazon Cognito 符合 SOC 1-3、PCI DSS、ISO 27001 的要求且符合 HIPAA-BAA 的条件。有关更多信息,请参阅 。AWS范围内的服务。另请参阅 区域数据注意事项。
mazon Cognito 的特点
用户池
用户池是 Amazon Cognito 中的用户目录。利用户池,您的用户可以通过 Amazon Cognito 登录您的 Web 或移动应用程序或通过第三方身份提供商 (IdP) 联合登录。无论您的用户是直接登录还是通过第三方登录,用户池的所有成员都有一个可通过开发工具包访问的目录配置文件。
用户池提供:
-
注册和登录服务。
-
用于登录用户的内置的、可自定义的 Web UI。
-
使用 Facebook、Google、Login with Amazon 和 Sign in with Apple 的社交登录,以及通过您的用户池中的 SAML 和 OIDC 身份提供商的登录。
-
用户目录管理和用户配置文件。
-
多重验证 (MFA)、遭盗用凭证检查、账户盗用保护以及电话和电子邮件验证等安全功能。
-
通过 AWS Lambda 触发器进行的自定义工作流程和用户迁移。
有关用户池的更多信息,请参阅用户池入门和Amazon Cognito 用户池 API 参考。
身份池
利用户身份池,您的用户可以获取临时AWS要访问的凭证AWS服务,例如 Amazon S3 和 DynamoDB。身份池支持匿名访客用户以及可用来验证身份池用户的身份的以下身份提供商:
-
Amazon Cognito 用户池
-
使用 Facebook、Google、Login with Amazon 和 Sign in with Apple 的社交登录
-
OpenID Connect (OIDC) 提供商
-
SAML 身份提供商
-
已经过开发人员验证的身份
要保存用户配置文件信息,您的身份池需要与用户池集成。
有关身份池的更多信息,请参阅Amazon Cognito 身份池入门 (联合身份)和Amazon Cognito 身份池 API 参考。
Amazon Cognito 入门
有关首要任务和开始位置的指南,请参阅 Amazon Cognito 入门。
有关视频、文章、文档和示例应用程序,请参阅Amazon Cognito 开发人员资源。
要使用 Amazon Cognito,您需要AWSaccount. 有关更多信息,请参阅 使用 Amazon Cognito 控制台。
区域可用性
Amazon Cognito 提供多个AWS面向全球的区域。Amazon Cognito 分布在多个可用区内。这些可用区的物理位置是相互隔离的,但可通过私有、低延迟、高吞吐量和高度冗余的网络连接联合在一起。这些可用区启用AWS提供极高水平的可用性和冗余的服务(包括 Amazon Cognito),同时最大程度地减少延迟。
有关 Amazon Cognito 当前提供的所有区域的列表,请参阅AWS区域和终端节点中的Amazon Web Services 通用参考。要了解有关每个区域中可用的可用区数量的更多信息,请参阅AWS全球基础设施。