現代のアプリケーション開発において、ユーザー認証とアクセス制御は不可欠な機能です。複雑なアカウント構造、ログインロジック、データ同期、権限管理といったバックエンドシステムの構築に携わる開発チームの負担を軽減するため、Amazon Web Services (AWS) は…を導入しました。 Amazon Cognito — モバイルおよびWebアプリケーション向けに特別に設計されたソリューション 安全、一貫性、拡張性 ユーザー ID およびアクセス管理サービス。
AWS エコシステムの一部である Amazon Cognito は、開発者がユーザー登録、ログイン、マルチデバイス同期、権限定義などの機能を簡単に実装できるように支援し、開発者がビジネスロジックと製品エクスペリエンスに集中して、アプリケーションの導入を加速できるようにします。
Amazon Cognitoの中心的な役割
簡単に言うと、Amazon Cognito の使命は次の 2 つの問題を解決することです。
-
訪問者の身元を確認する(認証)
-
ユーザーに適切な権限があるかどうかを確認します。(アクセス許可)
これら2つの機能は、データセキュリティを確保し、システムリソースへの不正アクセスを防止するために不可欠です。Cognitoは、ユーザー属性情報を安全なユーザーディレクトリ(…と呼ばれます)に整理します。 ユーザープール)、異なるアイデンティティに基づいて異なるAWSアクセス権限をマッピングすることができます( アイデンティティプールこれにより、エンドツーエンドのユーザー アクセス制御システムが形成されます。
ユーザープールとアイデンティティプール: 2つのコアコンポーネント
| コンポーネント | 効果 | 典型的なシナリオ |
|---|---|---|
| ユーザープール | ユーザー アカウント、パスワード、多要素認証、ソーシャル ログインなどを管理します。 | アプリケーションに登録およびログイン機能を提供する |
| アイデンティティプール | AWS リソースにアクセスするための権限をさまざまなユーザー カテゴリに割り当てます。 | S3 や DynamoDB などの AWS サービスにアクセスできるユーザーを制御します。 |
ユーザープールは、アイデンティティプールとは独立して使用することも、相互にリンクして、「アプリケーションへのログイン」から「AWS クラウドリソースへのアクセス」までの完全なリンクを実現することもできます。
サポートされているログイン方法は次のとおりです:
-
Cognitoネイティブのユーザー名/パスワード
-
ソーシャル メディア アカウント (Google、Facebook、Apple など)
-
エンタープライズ グレードの ID プロバイダー (SAML / Azure AD など)
さらに、ユーザー プールは以下をサポートします。
-
資格情報漏洩検出
-
携帯電話/メール認証
-
オプションの多要素認証(MFA)
-
AWS Lambdaとの統合によるカスタムセキュリティロジックの実装
デバイス間のデータ同期機能
Cognitoは複数のデバイス間でのユーザーデータの同期をサポートし、オフライン時にはローカルデータベースにデータをキャッシュし、デバイスがインターネットに再接続すると自動的にクラウドに同期します。これは以下のことを意味します。
-
ユーザーがデバイスを交換する際に再設定する必要がない
-
アプリケーションの状態は、Web、Android、iOS などの複数のプラットフォーム間でシームレスに維持できます。
開発者は、独自の複雑なデータ同期サービスを構築することなく、Amazon Cognito Sync と AWS SDK を通じてこのデータを直接操作できます。
本人確認プロセス図
ユーザーがログインすると、Cognito の一般的な認証プロセスは次のようになります。
-
ユーザーはユーザープールを通じて自分の身元を確認します。
-
検証が成功すると、Cognito はユーザー プール トークンを返します。
-
アプリケーションは、一時的な AWS 認証情報と引き換えに、トークンを ID プールに送信します。
-
ユーザーは一時的な認証情報を使用して、承認された AWS リソースにアクセスできます。
このメカニズムは、IAM ポリシーに基づいており、安全で制御可能かつ監査可能なアクセス動作を可能にします。
セキュリティコンプライアンスとデータ保護
Amazon Cognito は AWS 共有セキュリティモデルに準拠しており、デフォルトで次のものが含まれています。
-
データ転送と静的暗号化
-
多要素認証(MFA)
-
最小限のアクセスポリシー
-
コンプライアンスサポート(HIPAA、PCI DSS、ISO/IEC 27001/27017/27018などを含む)
金融、医療、企業管理などのセキュリティの高いシナリオでシステムが安定して動作することを保証します。
価格
Amazon Cognito (作成者) 月間アクティブユーザー数(MAU) 請求する:
-
最初の50,000MAUは無料
-
超過部分は段階的な価格設定に基づいて計算されます。
ユーザーデータの同期は、データストレージ容量と同期リクエストの数に基づいて課金され、AWS 無料利用枠クレジット (12 か月間有効) が付与されます。
クラウド上
として AWS 公式認定販売代理店、当社は企業に以下を提供できます:
-
Cognitoユーザーシステムと権限アーキテクチャ計画コンサルティング
-
モバイル/Webアプリケーションのアクセスと認証プロセスの設計
-
S3、RDS、DynamoDB などのサービスに対するアクセス認証スキーム
-
セキュリティ戦略のコンプライアンス評価とコスト最適化の推奨事項
ログイン システムやユーザー データ プラットフォームの構築を計画している場合、またはクロスプラットフォームのユーザー データ同期が必要な場合は、ビジネス シナリオに基づいて実装ソリューションと技術サポートを提供できます。
