Amazon cognito - 非awsリソースの承認

Question

Amazon cognitoを使用してAWSリソース以外のリソースへのアクセス制御を提供することは可能ですか？アクセス制御が必要なREST APIエンドポイントがあると仮定します。 Amazon cognitoを使用してこれらのエンドポイントの認証を提供するにはどうすればよいですか？

Answer 1

Cognito Federated Identityサービスでは、ユーザーに固有のIDを作成し、アイデンティティプロバイダと連携させることができます。アイデンティティを使用すると、一時的な制限付きのAWS資格情報を取得し、Amazon Cognito Syncとデータを同期したり、 。 詳細については、http://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html

したがって、CognitoフェデレーションIDサービスは、非awsリソースのアクセス制御を提供しません。

Answer 2

利用可能なCognitoサービスには、AWS Cognito UserPoolsとAWS Cognito Federated Identitiesの2種類があります。

AWS Cognito UserPoolsは、AWSの内部または外部のアプリケーションの認証をサポートするアイデンティティプロバイダです。

私は、アクセスする必要があるREST APIエンドポイントが であると仮定します。 Amazon cognitoを使用してこれらのエンドポイントの認証を提供するにはどうすればよいですか？

内部サービスまたは外部サービスで確認できるid_token（openidスコープが指定されている場合）というJWTトークンを発行するようにAWS Cognito UserPoolsを設定できます。 JWTトークンの検証の詳細については、Using ID Tokens and Access Tokens in your Web APIsを参照してください。

ただし、AWS CognitoフェデレーションIDを使用すると、AWSリソースへのアクセスを外部アプリケーションにフェデレーションできます。これはあなたのユースケースに合わないかもしれません。