Amazon Cognito

1. Amazon Cognito에 대해

Amazon Cognito는 웹 및 모바일 앱에 대한 인증, 권한 부여 및 사용자 관리를 제공 한다.

사용자는 사용자 이름과 암호를 사용하여 직접 로그인 하거나 Facebook, Amazon, Google, Apple 과의 연동을 통해 로그인 할 수 있다. Cognito는 두가지 주요 구성 요소로 사용자풀과 자격증명풀이 있다.사용자풀은 앱 사용자의 가입, 로그인 옵션을 제공하는 사용자 디렉터리 이다. 자격 증명 풀을 통해 기타 AWS 서비스에 대한 사용자 액세스 권한을 부여할 수 있다. 자격 증명풀과 사용자 풀을 별도로 또는 함께 사용할 수 있다.

 

• Amazon Cognito 사용자 풀 및 자격 증명 풀을 함께 사용 하는 경우

     목표는 사용자 인증 이후 다른 AWS 서비스에 대한 사용자 액세스 권한을 부여하는 것이다.

1. 첫번째 단계에서 앱 사용자는 사용자 풀을 통해 로그인하여 인증 성공 이후 사용자 풀 토큰을 받는다.
2. 앱은 자격 증명 풀을 통해 사용자 토큰을 AWS 자격증명으로 교환 한다.
3. 앱 사용자는 AWS 자격 증명을 사용하여 Amazon S3, DynamoDB 등 기타 AWS 서비스에 액세스 할 수 있다.

일반적인 Amazon Cognito 시나리오 다이어그램

 

2. 기능

• 사용자 풀 (User Pool)

사용자 풀은 Amazon Cognito의 사용자 디렉터리 이다. 사용자 풀에서 사용자는 Amazon Cognito, IdP를 통해 연동하여 웹 또는 모바일 앱에 로그인 할 수 있다.

사용자가 직접 또는 타사를 통해 로그인하는지 여부와 무관하게 사용자 풀의 모든 멤버는 디렉터리 프로필을 보유, SDK를 통해 액세스 할 수 있다.

 

사용자 풀 제공 사항

 

• 자격 증명 풀 (Identity Pool)

자격 증명 풀로 사용자는 임시 AWS 자격 증명을 얻어 Amazon S3 및 DynamoDB 등과 같은 다른 AWS 서비스에 액세스 할 수 있다.

자격 증명 공급자

 

사용자 프로필 정보를 저장하려면 자격 증명 풀이 사용자 풀에 통합 되어야 한다.

 

3. 관련 서비스

MFA (멀티 팩터 인증)

보안 강화를 위해 멀티 팩터 인증(MFA)을 구성하여 AWS 리소스를 보호하는 것이 좋다.

IAM 사용자 또는 AWS 계정 루트 사용자에 대해 MFA를 활성화할 수 있다.

MFA는 사용자가 AWS 웹 사이트 또는 서비스에 액세스할 때 사용자의 정규 로그인 자격 증명 외에도 AWS가 지원되는 MFA 메커니즘의 고유 인증을 제출하라고 요청함으로써 보안을 더욱 강화할 수 있다.