Amazon Cognito

什么是 Amazon Cognito？

Amazon Cognito 是一个 Amazon Web Services 产品，用于控制互联网连接设备上移动应用程序的用户身份验证和访问。该服务保存并同步最终用户数据，允许应用程序开发人员专注于编写代码，而不是构建和管理后端基础设施。它可以加速移动应用程序的开发过程。

需要通过身份验证和授权进行访问控制，以确认尝试访问网站的设备或人员的身份，以及他们是否有权这样做。这两个方面对于确保组织能够保护其网络和受保护的资源免受恶意行为者的侵害非常重要。这就是 Amazon Cognito 的作用所在。

Amazon Cognito 将用户配置文件属性聚合到称为用户池的目录中，移动应用程序或 Web 应用程序使用这些目录来配置对 AWS 资源的有限访问。身份池整合了客户端访问平台、设备和操作系统获取的最终用户信息，以组织联合身份组。

当设备在线时，数据会与 AWS 同步，允许最终用户访问其他设备上的相同信息。数据可以先离线保存在 SQLite 数据库中，然后再重新连接。Amazon Cognito 将数据集与身份关联，并将加密信息作为键值对保存在 Amazon Cognito Sync 存储中。每个用户可以保存多达 20MB 的数据，每个数据集包含多达 1MB。

开发人员可以将 Amazon Cognito 配置为在数据更新和同步时接受事件流。移动开发人员还可以通过其他 AWS 云服务（例如 Amazon Redshift 数据库、关系数据库服务 (RDS) 实例或 Amazon Simple Storage Service (S3) 文件）查询数据。

Amazon Cognito 用于什么？

Amazon Cognito 为 Web 和移动应用程序提供简单、安全的用户身份验证、授权和用户管理。使用 Cognito，用户或访问者可以通过 Amazon 或第三方（例如 Facebook、Google 或 Apple）使用用户名和密码登录。

因此，使用 Cognito，开发人员可以

• 通过其内置的用户界面 (UI) 和简单的配置，轻松地将用户注册、登录和访问控制添加到您的应用程序
• 来自社交身份提供者的联邦身份
• 跨多个设备和应用程序同步数据
• 通过定义角色并将用户映射到不同的角色，为其应用程序提供对其他 AWS 服务的安全访问

由于 Cognito 处理所有身份验证要求，开发人员可以专注于构建应用程序和网站。这可以加快开发过程，缩短发布周期，并增加上市时间和价格。

Cognito 是 Amazon Web Services (AWS) 生态系统的一部分。Cognito 控制台本身是组织 AWS 管理控制台的一部分，他们可以在其中查看有关其 Cognito 帐户和计费的所有信息。

用户池与身份池：了解差异

Amazon Cognito 有两个主要组件

用户池：用户目录，为应用程序用户提供注册和登录选项。

身份池：Cognito 元素，使用户能够访问其他 AWS 服务（例如 Amazon S3 和 DynamoDB）。

使用用户池，用户可以通过 Amazon Cognito、社交身份提供商（例如 Google 或 Facebook）或安全断言标记语言 (SAML) 身份提供商登录到应用程序。每个用户都将拥有一个目录配置文件。开发人员可以通过软件开发工具包 (SDK) 访问这些配置文件。用户池可以检查被盗用的凭证，提供基于电子邮件和电话的验证，并提供多因素身份验证 (MFA) 以增加安全性。管理员还可以将 AWS Lambda 与 Amazon Cognito Identity 集成，以添加自定义安全功能的逻辑。

如果组织需要为用户提供对 AWS 资源的访问权限，他们可以配置一个身份池。身份池是联合身份，支持通过用户池和联合身份提供商、SAML 身份提供商，甚至未经授权的身份（访客用户）进行身份验证。使用身份池，组织可以创建唯一的身份并分配用户权限。

身份池和用户池可以单独或一起使用。

SDK 支持

移动应用程序开发人员可以使用 SDK 与 Cognito 集成或直接访问服务器端 API。AWS 在其 AWS Mobile SDK 中支持 Amazon Cognito，其中包括库、代码示例和 API，以帮助开发人员使用该服务。SDK 适用于 iOS、Android、Unity 和 Kindle Fire。AWS SDK for JavaScript 也支持 Cognito。用户池在 AWS SDK for JavaScript 以及适用于 iOS 和 Android 的 AWS Mobile SDK 中可用。

Amazon Cognito 身份验证的工作原理：一个 4 步过程

以下是当身份池和用户池一起使用时身份验证的工作原理

• 用户通过用户池登录。
• 成功通过身份验证后，他们将收到用户池令牌。
• 应用程序通过身份池交换 AWS 凭证以获得令牌。
• 用户可以使用这些经过身份验证的 AWS 凭证来访问 AWS 云中的其他服务。

Amazon Cognito 安全性工作原理概述。

使用 AWS Cognito Sync 同步用户数据

AWS Cognito Sync 跨移动设备和 Web 应用程序同步用户配置文件数据。此功能允许用户使用 Amazon Cognito 拥有规范的用户 ID 和凭证。

该服务支持 Android 和 iOS 设备，具有一个高端客户端库，用于在本地缓存用户数据。后者即使设备本身离线也能使数据可用。

用户数据保留在数据集中。此数据仅可供分配给特定身份的凭证访问。为了提供用户身份，Cognito Sync 需要 Amazon Cognito 身份池。

因此，为了使用 Amazon Cognito Sync，组织需要设置一个身份池。

Amazon Cognito 安全性与数据保护

Amazon Cognito 中的安全性与 AWS 针对数据安全的“共享安全”模型保持一致。AWS 提供云安全，而组织则负责云中的安全*性*。

Amazon Cognito 支持 MFA，并根据行业标准对静态和传输中的数据进行加密，以增加安全性。它还符合多项数据保护标准和法规，包括

• HIPAA
• PCI DSS
• 服务组织控制
• ISO/IEC 27001/27017/27018
• ISO 9001

Amazon Cognito 还支持多种身份和访问管理 (IAM) 功能，包括

• 基于身份的策略
• 策略操作
• 临时凭证
• 服务角色
• 服务链接角色

Amazon Cognito 包含多种身份访问管理功能。

Amazon Cognito 定价

每月活跃用户 (MAU) 确定 Amazon Cognito 的价格。如果任何注册、登录、令牌刷新或密码更改操作与该用户在一个日历月内相关，则该用户是 MAU。

前 50,000 个 MAU 是免费的。此后，定价基于 MAU 数量的分层模式。

Cognito Sync 的费用基于同步操作的数量和 Cognito Sync 存储的数据量。使用 AWS 免费套餐，企业可以存储 10GB 数据，并每月执行 1,000,000 次同步操作，有效期长达 12 个月。免费套餐结束后，Amazon Cognito 对每 GB 同步存储每月收取 15 美分，对每 10,000 次同步操作收取 15 美分。