2025/03/02

Amazon Cognito 

CognitoはAWS上のシステムに対して認証・認可を行うサービス。

## Cognitoの処理フロー

## CloudFormationのサンプル
```
AWSTemplateFormatVersion: 2010-09-09
Description: The template for creating Cognito resource.

Parameters:
  LambdaFunctionArn:
    Type: String
    Description: Lambda function arn for lambda permission.

Resources:
  # user pool
  UserPool:
    Type: "AWS::Cognito::UserPool"
    Properties:
      UserPoolName: sample-user-pool
      UsernameAttributes:
        - email
      AutoVerifiedAttributes:
        - email
      UserAttributeUpdateSettings:
        AttributesRequireVerificationBeforeUpdate:
         - email
      Schema:
        - Name: email
          AttributeDataType: String
          Mutable: false
          Required: true
      UsernameConfiguration: 
        CaseSensitive: false
      MfaConfiguration: "OFF"
      EmailConfiguration: 
        EmailSendingAccount: "COGNITO_DEFAULT"
      AccountRecoverySetting:
        RecoveryMechanisms:
          - Name: verified_email
            Priority: 1
      AdminCreateUserConfig:
        AllowAdminCreateUserOnly: false
      VerificationMessageTemplate: 
                DefaultEmailOption: "CONFIRM_WITH_CODE"
      LambdaConfig: 
        PostAuthentication: !Ref LambdaFunctionArn

  # user pool client
  UserPoolClient:
    Type: "AWS::Cognito::UserPoolClient"
    DependsOn: UserPool
    Properties:
      ClientName: sample-apl-client
      GenerateSecret: false
      UserPoolId: !Ref UserPool
      ExplicitAuthFlows: 
        - ALLOW_REFRESH_TOKEN_AUTH
        - ALLOW_USER_SRP_AUTH

  ## identity pool
  IdentityPool:
    Type: "AWS::Cognito::IdentityPool"
    DependsOn: UserPoolClient
    Properties:
      AllowClassicFlow: false
      IdentityPoolName: sample-id-pool
      AllowUnauthenticatedIdentities: false
      CognitoIdentityProviders: 
        - ClientId: !Ref UserPoolClient
          ProviderName: !GetAtt UserPool.ProviderName

  # role for authorized access to AWS resources
  CognitoAuthorizedRole:
    Type: "AWS::IAM::Role"
    DependsOn: IdentityPool
    Properties:
      RoleName: "svls-role-cog-idpool"
      AssumeRolePolicyDocument: 
        Version: "2012-10-17"
        Statement:
          - Effect: "Allow"
            Principal: 
              Federated: "cognito-identity.amazonaws.com"
            Action: 
              - "sts:AssumeRoleWithWebIdentity"
            Condition:
              StringEquals: 
                "cognito-identity.amazonaws.com:aud": !Ref IdentityPool
              "ForAnyValue:StringLike":
                "cognito-identity.amazonaws.com:amr": authenticated
      Policies:
        - PolicyName: "CognitoAuthorizedPolicy"
          PolicyDocument: 
            Version: "2012-10-17"
            Statement: 
              - Effect: "Allow"
                Action:
                  - "cognito-identity:GetCredentialsForIdentity"
                Resource: "*"
  
  # Attach role to the Identity Pool
  IdentityPoolRoleMapping:
    Type: "AWS::Cognito::IdentityPoolRoleAttachment"
    DependsOn: CognitoAuthorizedRole
    Properties:
      IdentityPoolId: !Ref IdentityPool
      Roles:
        authenticated: !GetAtt CognitoAuthorizedRole.Arn
```
時刻:
ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)

人気の投稿

  • EC2でAmazon Linux 2023の設定あれこれ
    ## 作業前確認 [Amazon Linux 2023 リリースノート](https://docs.aws.amazon.com/ja_jp/linux/al2023/release-notes/relnotes.html) ### インスタンスのネットワーク設定 ``` ...
  • TCP(Transmission Control Protocol)
    rfc793 TCP Header Format 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 ...
  • SEのための聞く技術
    SEに必要なスキル スキル分類 主なスキル 技術 ・プラットフォーム ・プログラミング言語 ・データベース ・セキュリティ ・ネットワーク メソドロジ ・オブジェクト指向 ・コンサルティング手法 ・アーキテクチャデザイン ・モデリン...
  • AWSとAzureの対応表(早見表)
    --- ## 地理構成・リージョン設計 | AWS | Azure | 説明 | |-----|-------|------| | - | ジオ | Azure独自の地理的分類単位 | | リージョン | リージョン | データセンター群の配置単位 | | - | リージョ...