Seguridad

Autenticación de usuarios con Amazon Cognito - Diseño de User Pool e Identity Pool

Explicamos la autenticación de usuarios con Cognito User Pool, el acceso a recursos AWS con Identity Pool y la integración de inicio de sesión social.

約 6 分で読めます

Descripción general de Cognito

Cognito es un servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móviles, gratuito hasta los primeros 50,000 MAU (usuarios activos mensuales). User Pool es un directorio de usuarios que gestiona registro, inicio de sesión y MFA. Identity Pool emite credenciales temporales de AWS a usuarios autenticados, permitiendo el acceso directo a recursos de AWS. El inicio de sesión social (Google, Facebook, Apple, Amazon) y la federación SAML/OIDC se soportan de forma nativa, y la integración con IdPs externos se completa con apenas unas líneas de configuración.

Diferenciación entre User Pool e Identity Pool

User Pool emite tokens JWT (token de ID, token de acceso, con período de validez configurable de 5 minutos a 1 día) que se verifican con el autorizador de API Gateway. Identity Pool recibe tokens de User Pool y devuelve credenciales temporales de AWS basadas en roles IAM. Cuando el frontend sube archivos a S3, se llama directamente al SDK de S3 usando credenciales obtenidas de Identity Pool. Los triggers Lambda permiten implementar restricciones de dominio de email en Pre Sign-up, envío de emails de bienvenida en Post Confirmation y adición de claims personalizados en Pre Token Generation. El principio de elección es claro: si solo se necesita autenticación de API backend, los JWT de User Pool son suficientes; si los clientes necesitan llamar directamente a recursos AWS (S3, DynamoDB, AppSync), se combina con Identity Pool. Para aprender sobre autenticación y seguridad, consulte libros en Amazon.

Funciones avanzadas de autenticación

Las funciones de seguridad avanzada de Cognito proporcionan autenticación adaptativa, determinando dinámicamente la necesidad de MFA basándose en el nivel de riesgo (dispositivo, dirección IP, historial de inicio de sesión). Los inicios de sesión desde dispositivos habituales omiten MFA, mientras que los accesos desde dispositivos desconocidos o IPs anómalas fuerzan MFA. Los flujos de autenticación personalizados usan triggers Lambda para implementar verificación CAPTCHA o MFA personalizado. La UI alojada del User Pool ofrece una página de inicio de sesión personalizable donde se puede aplicar branding propio. La personalización de tokens permite agregar claims personalizados al token de ID para usarlos en decisiones de autorización del lado de la aplicación.

Mejores prácticas de diseño y trampas

Tres trampas comunes al adoptar Cognito. Primero, los User Pools tienen atributos que no pueden cambiarse después de la creación (formato de nombre de usuario, atributos obligatorios), por lo que el diseño del schema debe decidirse cuidadosamente durante la fase de diseño. Cambiar a "usar email como nombre de usuario" posteriormente requiere recrear el User Pool y migrar usuarios. Segundo, olvidar configurar un dominio personalizado significa que Cognito emite URLs por defecto (amazoncognito.com) que pueden causar desconfianza del usuario desde una perspectiva de prevención de phishing. Se recomienda configurar un dominio personalizado con certificado ACM. Tercero, tener en cuenta el timeout de los triggers Lambda (3 segundos por defecto). Si Pre Token Generation llama a una API externa y la latencia excede el límite, la emisión de tokens falla y los usuarios no pueden iniciar sesión. Diseñe con una capa de caché para llamadas externas y consciencia del timeout.

Comparación con Auth0 y Firebase Authentication

Los competidores de Cognito incluyen Auth0 y Firebase Authentication. Auth0 sobresale en usabilidad de la consola de administración y calidad de documentación, con presets ricos para flujos de autenticación complejos (multi-tenancy basada en Organization, autenticación step-up), pero a escala su costo por MAU alcanza varias veces el de Cognito. Firebase Authentication se integra naturalmente con el ecosistema de Google (Firestore, Cloud Functions), pero en arquitecturas centradas en AWS requiere implementación adicional para la integración con roles IAM. La mayor fortaleza de Cognito es la integración nativa con servicios AWS (autorizadores de API Gateway, mapeo de roles IAM de Identity Pool, conexión directa con AppSync), proporcionando mínima fricción al construir backends centrados en AWS. Sin embargo, la personalización de la UI alojada de Cognito y la UX de la consola de administración son inferiores a Auth0, por lo que cuando la flexibilidad de la pantalla de autenticación es prioridad, considere componentes de Amplify UI.

Precios de Cognito

Los precios de Cognito se cobran por número de usuarios activos mensuales (MAU). Los primeros 10,000 MAU son gratuitos, y hasta 50,000 MAU cuesta aproximadamente 0.0055 USD por MAU. Los usuarios de federación SAML/OIDC cuestan aproximadamente 0.015 USD por MAU. Las funciones de seguridad avanzada (autenticación adaptativa, detección de credenciales comprometidas) tienen cargos adicionales de aproximadamente 0.050 USD por MAU. La emisión de credenciales AWS de Identity Pool es gratuita. Con facturación basada en MAU, los usuarios registrados que no inician sesión no afectan los costos.

Resumen

Cognito es un servicio que proporciona autenticación de usuarios con User Pool y acceso a recursos AWS con Identity Pool. Se integra con IdPs externos mediante inicio de sesión social y federación SAML/OIDC, y aplica dinámicamente MFA basado en riesgo con autenticación adaptativa. La integración nativa con servicios AWS es su mayor fortaleza, y el diseño cuidadoso del schema del User Pool en la etapa inicial es clave para la operación a largo plazo.

Servicios relacionados

Amazon CognitoUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAWS LambdaServicio de computación serverless que ejecuta código sin gestión de servidoresAmazon API GatewayUn servicio completamente administrado para crear, publicar, gestionar y monitorear APIs

Artículos relacionados

Autorización granular con Amazon Verified Permissions - Control de acceso con políticas CedarPresentamos la técnica de externalizar la lógica de autorización del código de la aplicación con el lenguaje de políticas Cedar, y lograr decisiones de autorización basadas en tokens con la integración de Cognito.Patrones de diseño de Amazon API Gateway - Criterios de selección entre REST API y HTTP APIClarificamos los criterios de selección entre HTTP API y REST API, y presentamos patrones de autenticación con Cognito y Lambda Authorizer, así como métodos prácticos de diseño de throttling.Diseño visual de aplicaciones serverless con AWS Application Composer - Generación automática de plantillas IaCExplica el diseño visual de arquitecturas serverless con Application Composer, la generación automática de plantillas SAM y la integración con VS Code.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

Implementación de autenticación de usuarios - Construcción de una base de autenticación segura con CognitoExplicamos el diseño e implementación de una base de autenticación de usuarios con Amazon Cognito, presentando la construcción de flujos de autenticación con User Pools, Identity Pools e integración con proveedores de identidad externos.Amazon CognitoServicio completamente administrado que añade funcionalidad de autenticación y autorización a aplicaciones web y móviles, compatible con login social y federación SAMLDiseño de gestión de identidad y acceso - Lograr seguridad Zero Trust con IAMAprende técnicas de diseño de gestión de acceso con AWS IAM, incluyendo el principio de mínimo privilegio, diseño de políticas y lograr seguridad Zero Trust mediante integración con Cognito.Aceleración del desarrollo full-stack - Construcción de aplicaciones nativas en la nube con AmplifyExplicamos las técnicas de desarrollo full-stack con AWS Amplify, incluyendo el alojamiento del frontend, la construcción del backend y el desarrollo rápido de aplicaciones mediante la integración de autenticación y almacenamiento.