Amazon Cognito のアイコン

Amazon Cognito

Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス

約 1 分で読めます

何ができるか

Amazon Cognito は、Web アプリケーションやモバイルアプリケーションにユーザーのサインアップ、サインイン、アクセス制御の機能を追加するサービスです。ユーザープールでユーザーの登録・認証を管理し、ID プールで認証済みユーザーに AWS リソースへのアクセス権限を付与します。Google、Facebook、Apple などのソーシャルログインや、SAML ベースの企業 ID プロバイダーとの連携もサポートしています。

どのような場面で使うか

Web アプリケーションにメールアドレスとパスワードによるサインアップ・サインイン機能を実装する場面や、Google アカウントでのソーシャルログインを追加する場面で活用されています。また、認証済みユーザーにのみ S3 バケットや API Gateway のエンドポイントへのアクセスを許可するアクセス制御の実装にも利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

テーマパークの入場ゲートに例えるとわかりやすいでしょう。来場者 (ユーザー) はゲートで年間パスポートを提示するか (既存ユーザーのサインイン)、新規にチケットを購入します (サインアップ)。ゲートを通過すると、チケットの種類に応じてアクセスできるエリアが決まります (認可)。Cognito はこの入場ゲートの役割を担い、誰がどのリソースにアクセスできるかを管理します。

Cognito とは

Amazon Cognito は、アプリケーションの認証 (本人確認) と認可 (アクセス権限の付与) を管理するサービスです。ユーザー登録、ログイン、パスワードリセット、多要素認証 (MFA) などの機能を、自前で実装することなく利用できます。数百万ユーザーまでスケールするフルマネージドサービスで、セキュリティのベストプラクティスが組み込まれています。

ユーザープールと ID プール

Cognito には 2 つの主要コンポーネントがあります。ユーザープールは、ユーザーの登録・認証を管理するユーザーディレクトリです。サインアップ、サインイン、パスワードリセット、MFA などの機能を提供し、認証成功時に JWT トークンを発行します。ID プールは、認証済みユーザーに一時的な AWS 認証情報を付与し、S3 や DynamoDB などの AWS リソースに直接アクセスできるようにします。

ソーシャルログインと企業 ID 連携

Cognito は外部の ID プロバイダーとの連携をサポートしています。Google、Facebook、Apple、Amazon などのソーシャル ID プロバイダーを設定すると、ユーザーは既存のアカウントでサインインできます。企業向けには、SAML 2.0 や OpenID Connect (OIDC) に対応しており、Active Directory や Okta などの企業 ID プロバイダーとの SSO (シングルサインオン) を実現できます。

はじめかた

Cognito を使い始めるには、Cognito コンソールでユーザープールを作成します。サインイン方法 (メールアドレス、電話番号、ユーザー名) やパスワードポリシーを設定し、アプリクライアントを作成します。フロントエンドアプリケーションには Amplify ライブラリを使うと、数行のコードでサインアップ・サインインの UI を組み込めます。無料利用枠として、月間 50,000 アクティブユーザーまで無料で利用できます。

注意点

  • ユーザープールの設定 (サインイン属性、MFA の種類など) は作成後に変更できない項目がある。要件を十分に検討してから作成すること
  • 無料利用枠は月間 50,000 MAU (月間アクティブユーザー) まで。ソーシャルログインや SAML 連携のユーザーは別料金体系となる
  • JWT トークンの有効期限はデフォルトで 1 時間。アプリケーション側でトークンのリフレッシュ処理を実装すること

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS CloudHSM のアイコン AWS CloudHSM 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Detective のアイコン Amazon Detective セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Directory Service のアイコン AWS Directory Service AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス Amazon Security Lake のアイコン Amazon Security Lake セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Shield のアイコン AWS Shield DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス