[AWS]Cognitoの概念を整理

1 min読了の目安(約1600字TECH技術記事
  • CognitoはAWSが提供する、認証・認可の仕組みだよ
  • 認証は、その人が誰なのか、を確認するよ
  • 認可は、その人が権限を持っているか、を確認するよ
  • Cognitoを使うとこの認証・認可を簡単に導入することができるよ
  • Cognitoには2つの概念があるよ
  1. ユーザープール
  2. IDプール

ユーザープール

  • ユーザープールは認証を管理する仕組みだよ
  • ユーザープールは、Cognitoで認証した(SignUpした)ユーザーが溜まっていく場所だよ
  • ユーザープールには、認証の方法がたくさん用意されているよ
    • Username/Passwordによる認証
    • GoogleやTwitterなどのOIDC認証
    • SAML認証
    • etc.
  • Client側はユーザープールに対して、ユーザー登録APIを叩くよ
  • ユーザープールにユーザーが作成されると、Cognitoが一意のIDを割り振るよ
  • Cognitoからは、sub値にユーザーIDがセットされたIDトークンが返ってくるよ
  • そのJWTを取り回すことで、認証の仕組みを自前でつくることなく、自分のアプリに組み込むことができるよ

IDプール

  • IDプールは認可を管理する仕組みだよ
  • IDプールは、その名の通りIDを発行して、他のAWSへのサービスへのアクセスを許可できるようにするよ
  • IDプールで発行されるIDは、IAMのロールが紐付いているよ
  • IAMのロールが紐付いているので、そのロールで許可されている操作は、そのIDを使用することでできるようになるよ
  • 例えば、S3のオブジェクトへの読み込み権限がついていれば、IDプールのIDでアクセスが可能になるよ
// 例) IDプールのIDをAWS SDKの認証情報に設定する
var creds = new AWS.CognitoIdentityCredentials({
 IdentityPoolId: 'us-east-1:xxx'
});
AWS.config.credentials = creds;
  • IDプールに紐づくロールは、2種類作ることができるよ
  1. 未認証ユーザーのロール
  2. 認証済みユーザーのロール
  • そのユーザーがまだなんの認証もしていない時点(そのユーザーが誰なのかわからない状態)でも、IDプールにIDを発行することができるよ
  • 認証をしていないユーザーの場合は、未認証ユーザーのロールが割り当てられるよ
  • 反対に、なにかしらの認証方法でサインインしたユーザーの場合は、認証済みユーザーのロールが割り当てられるよ
  • この認証方法はいろいろな方法が提供されているよ
    • Cognito(ユーザープール)
    • GoogleやTwitterなどのOIDC認証
    • SAML認証
    • etc.
  • 未認証ユーザーのロールと、認証済みユーザーのロールで操作権限を変えることで、ログイン前のユーザーができること、ログイン後のユーザーができることを切り替えることが、簡単にできるよ

ユーザープールとIDプールを連動させる

  • ユーザープールとIDプールはそれぞれ独立した概念でもあるので、それぞれだけで使うこともできるよ
  • 認可の仕組みが必要なければ、ユーザープールだけを使えばよいし、その逆も然りだよ
  • さらに、IDプールの認証の仕組みとして、ユーザープールを選択することもできるよ
  • ユーザープールで認証したユーザーに、IDプールの認証済みユーザーのIDを発行することができるよ
  • 逆に、ユーザープールで認証していないユーザーに、IDプールの未認証ユーザーのIDを発行することができるよ
  • ユーザープールとIDプールを連動させることによって、認証・認可の仕組みを簡単に導入することができるよ