セキュリティ

Amazon Cognito で実装するユーザー認証 - User Pool と Identity Pool の設計

Cognito User Pool によるユーザー認証、Identity Pool による AWS リソースアクセス、ソーシャルログインの統合を解説します。

約 1 分で読めます

Cognito の概要

Cognito は Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービスで、最初の 50,000 MAU (月間アクティブユーザー) まで無料です。User Pool はユーザーディレクトリで、サインアップ・サインイン・ MFA を管理します。Identity Pool は認証済みユーザーに一時的な AWS 認証情報を発行し、AWS リソースへの直接アクセスを可能にします。

User Pool と Identity Pool の使い分け

User Pool は JWT トークン (ID トークン、アクセストークン、有効期間 5 分〜1 日で設定可能) を発行し、API Gateway のオーソライザーで検証します。Identity Pool は User Pool のトークンを受け取り、IAM ロールに基づく一時的な AWS 認証情報を返します。フロントエンドから S3 にファイルをアップロードする場合、Identity Pool で取得した認証情報で S3 SDK を直接呼び出します。Lambda トリガーの Pre Sign-up でメールドメインの制限、Post Confirmation でウェルカムメールの送信、Pre Token Generation でカスタムクレームの追加を実装できます。

高度な認証機能

Cognito の高度なセキュリティ機能はアダプティブ認証を提供し、リスクレベル (デバイス、 IP アドレス、ログイン履歴) に基づいて MFA の要求を動的に判断します。通常のデバイスからのログインは MFA をスキップし、未知のデバイスや異常な IP からのアクセスには MFA を強制します。カスタム認証フローで Lambda トリガーを使い、 CAPTCHA 検証やカスタム MFA を実装できます。ユーザープールのホスティング UI はカスタマイズ可能なログインページを提供し、独自のブランディングを適用できます。トークンのカスタマイズで、 ID トークンにカスタムクレームを追加し、アプリケーション側の認可判断に活用します。 Cognito の理解をさらに深めたい場合はAmazon の専門書も活用できます。

Cognito の料金

Cognito の料金は月間アクティブユーザー (MAU) 数で課金されます。最初の 10,000 MAU は無料で、50,000 MAU までは 1 MAU あたり約 0.0055 ドルです。SAML/OIDC フェデレーションユーザーは 1 MAU あたり約 0.015 ドルです。高度なセキュリティ機能 (アダプティブ認証、侵害された認証情報の検出) は追加料金が発生し、1 MAU あたり約 0.050 ドルです。Identity Pool の AWS 認証情報の発行は無料です。MAU ベースの課金のため、登録済みだがログインしないユーザーはコストに影響しません。

まとめ

Cognito は User Pool でユーザー認証、Identity Pool で AWS リソースアクセスを提供するサービスです。ソーシャルログインと SAML/OIDC フェデレーションで外部 IdP と統合し、アダプティブ認証でリスクベースの MFA を動的に適用します。最初の 10,000 MAU が無料で、スタートアップから大規模アプリケーションまで対応します。

関連するサービス

Amazon CognitoWeb ・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービスAWS Lambdaサーバー管理不要でコードを実行するサーバーレスコンピュートサービスAmazon API GatewayAPI の作成、公開、管理、監視を簡単に行えるフルマネージドサービス

関連する記事

Amazon Verified Permissions で実装するきめ細かい認可 - Cedar ポリシーによるアクセス制御Cedar ポリシー言語で認可ロジックをアプリケーションコードから外部化し、Cognito 統合でトークンベースの認可判定を実現する手法を紹介します。Amazon API Gateway の設計パターン - REST API と HTTP API の選定基準HTTP API と REST API の選定基準を明確にし、Cognito・Lambda オーソライザーの認証パターンとスロットリング設計の実践手法を紹介します。AWS Application Composer でサーバーレスアプリケーションをビジュアル設計 - IaC テンプレートの自動生成Application Composer によるサーバーレスアーキテクチャのビジュアル設計、SAM テンプレートの自動生成、VS Code 統合を解説します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

ユーザー認証の実装 - Cognito によるセキュアな認証基盤の構築Amazon Cognito を活用したユーザー認証基盤の設計と実装を解説し、ユーザープール、ID プール、外部 ID プロバイダー連携による認証フローの構築方法を紹介します。Amazon CognitoWeb やモバイルアプリケーションにユーザー認証・認可機能を追加するフルマネージドサービスで、ソーシャルログインや SAML 連携にも対応するID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。SSO とアイデンティティ管理 - AWS IAM Identity Center による一元認証AWS IAM Identity Center (旧 AWS SSO) を使ったシングルサインオンとマルチアカウントアクセス管理を解説。外部 IdP 連携、権限セット設計、Cognito との使い分けまで紹介します。