Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# ¿Qué es Amazon Cognito?
Amazon Cognito es una plataforma de identidad para aplicaciones web y móviles. Es un directorio de usuarios, un servidor de autenticación y un servicio de autorización para AWS credenciales y credenciales de acceso OAuth 2.0. Con Amazon Cognito, puede autenticar y autorizar a los usuarios desde el directorio de usuarios integrado, desde el directorio empresarial y desde proveedores de identidad de consumidores como Google y Facebook.
**Topics**
+ [
## Grupos de usuarios
](#what-is-amazon-cognito-user-pools)
+ [
## Grupos de identidades
](#what-is-amazon-cognito-identity-pools)
+ [
## Características de Amazon Cognito
](#what-is-amazon-cognito-features)
+ [
## Comparación de grupos de usuarios y grupos de identidades de Amazon Cognito
](#what-is-amazon-cognito-features-comparison)
+ [
## Introducción a Amazon Cognito
](#getting-started-overview)
+ [
## Disponibilidad regional
](#getting-started-regional-availability)
+ [
## Precios de Amazon Cognito
](#pricing-for-amazon-cognito)
+ [
# Términos y conceptos comunes de Amazon Cognito
](cognito-terms.md)
+ [
# Cómo empezar con AWS
](cognito-getting-started-account-iam.md)
Los dos componentes siguientes componen Amazon Cognito. Funcionan de forma independiente o en conjunto, en función de las necesidades de acceso de los usuarios.
## Grupos de usuarios
![\[Amazon Cognito user pool authentication flow with app, identity provider, and API/Database.\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/user-pools-overview.png)
Cree un grupo de usuarios cuando quiera autenticar y autorizar a los usuarios a la aplicación o la API. Los grupos de usuarios son un directorio de usuarios con funciones de creación, administración y autenticación de usuarios automáticas e impulsadas por el administrador. El grupo de usuarios puede ser un directorio independiente y un proveedor de identidades de OIDC (IdP) y un proveedor de servicios intermedio (SP) para proveedores de terceros de identidades de personal y clientes. Puedes proporcionar un inicio de sesión único (SSO) en tu aplicación para las identidades de los empleados de tu organización en SAML 2.0 y IdPs OIDC con grupos de usuarios. También puedes proporcionar el SSO en tu aplicación para las identidades de los clientes de tu organización en las tiendas públicas de identidades OAuth 2.0 de Amazon, Google, Apple y Facebook. Para obtener más información acerca de la gestión de acceso e identidad de los clientes (CIAM), consulte [¿Qué es CIAM?](https://aws.amazon.com/what-is/ciam/).
Los grupos de usuarios no requieren la integración con un grupo de identidades. Desde un grupo de usuarios, puedes emitir tokens web JSON autenticados (JWTs) directamente a una aplicación, un servidor web o una API.
## Grupos de identidades
![\[Diagram showing Amazon Cognito federated identities flow between app, identity pool, provider, and STS.\]](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/identity-pools-overview.png)
Configure un grupo de identidades de Amazon Cognito cuando desee autorizar a usuarios autenticados o anónimos a acceder a sus recursos. AWS Un grupo de identidades emite AWS credenciales para que su aplicación sirva de recursos a los usuarios. Puede autenticar a los usuarios con un proveedor de identidades de confianza, como un grupo de usuarios o un servicio SAML 2.0. También puede emitir, opcionalmente, credenciales para los usuarios invitados. Los grupos de identidades utilizan un control de acceso basado en roles y en atributos para administrar la autorización de los usuarios para acceder a sus recursos. AWS
Los grupos de identidades no requieren la integración con un grupo de usuarios. Un grupo de identidades puede aceptar reclamaciones autenticadas directamente de los proveedores de identidad de los empleados y de los consumidores.
**Un grupo de usuarios y un grupo de identidades de Amazon Cognito que se utilizan en conjunto**
En el diagrama que comienza este tema, se utiliza Amazon Cognito para autenticar al usuario y, a continuación, concederle acceso a un Servicio de AWS.
1. El usuario de la aplicación inicia sesión a través de un grupo de usuarios y recibe 2.0 tokens. OAuth
1. Tu aplicación intercambia un token de grupo de usuarios por un grupo de identidades por AWS credenciales temporales que puedes usar con AWS APIs y AWS Command Line Interface (AWS CLI).
1. La aplicación asigna la sesión de credenciales al usuario y proporciona acceso autorizado a sitios Servicios de AWS como Amazon S3 y Amazon DynamoDB.
Para ver más ejemplos que utilizan grupos de identidades y grupos de usuarios, consulte [Escenarios comunes de Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-scenarios.html).
En Amazon Cognito, la obligación de *seguridad de la nube* del [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) cumple con SOC 1-3, PCI DSS, ISO 27001 e HIPAA-BAA. Puede diseñar su *seguridad en la nube en* Amazon Cognito para que cumpla con las normas SOC1 -3, ISO 27001 e HIPAA-BAA, pero no con PCI DSS. Para obtener más información, consulte [Servicios de AWS en el ámbito](https://aws.amazon.com/compliance/services-in-scope/). Consulte también [Consideraciones de datos regionales](https://docs.aws.amazon.com/cognito/latest/developerguide/security-cognito-regional-data-considerations.html).
## Características de Amazon Cognito
### Grupos de usuarios
Un grupo de usuarios de Amazon Cognito es un directorio de usuarios. Con un grupo de usuarios, los usuarios pueden iniciar sesión en su aplicación web o móvil por medio de Amazon Cognito o federarse mediante un IdP de terceros. Los usuarios federados y locales tienen un perfil de usuario en el grupo de usuarios.
Los usuarios locales son los inscritos o registrados directamente en el grupo de usuarios. Puede administrar y personalizar estos perfiles de usuario en el Consola de administración de AWS, un SDK o el (). AWS AWS Command Line Interface AWS CLI
Los grupos de usuarios de Amazon Cognito aceptan tokens y afirmaciones de terceros IdPs y recopilan los atributos de usuario en un JWT que se envía a la aplicación. Puede estandarizar su aplicación en un solo conjunto JWTs mientras Amazon Cognito gestiona las interacciones IdPs con ellas y asigna sus afirmaciones a un formato de token central.
Un grupo de usuarios de Amazon Cognito puede ser un IdP independiente. Amazon Cognito se basa en el estándar OpenID Connect (OIDC) para generar datos de autenticación y autorización. JWTs Cuando inicia sesión en los usuarios locales, el grupo de usuarios tiene autoridad para esos usuarios. Tiene acceso a las funciones siguientes cuando autentica a los usuarios locales.
+ Implemente su propia frontend web que llama a la API de grupos de usuarios de Amazon Cognito para autenticar, autorizar y administrar los usuarios.
+ Configurar autenticación multifactor (MFA) para los usuarios. Amazon Cognito admite contraseña temporal de un solo uso (TOTP) y MFA por mensaje SMS.
+ Proteja contra el acceso de cuentas de usuario que estén bajo control malintencionado.
+ Cree sus propios flujos de autenticación de varios pasos personalizados.
+ Busque usuarios en otro directorio y mígrelos a Amazon Cognito.
Un grupo de usuarios de Amazon Cognito también puede cumplir una doble función como proveedor de servicios (SP) para su IdPs aplicación y como IdP para su aplicación. Los grupos de usuarios de Amazon Cognito pueden conectarse con consumidores IdPs como Facebook y Google, o con empleados IdPs como Okta y Active Directory Federation Services (ADFS).
Con los tokens OAuth 2.0 y OpenID Connect (OIDC) que emite un grupo de usuarios de Amazon Cognito, puede
+ Aceptar un ID de token en la aplicación que autentica a un usuario y proporciona la información que necesita para configurar el perfil del usuario.
+ Aceptar un token de acceso en la API con los ámbitos de OIDC que autorizan las llamadas a la API de los usuarios.
+ Recupera AWS las credenciales de un grupo de identidades de Amazon Cognito.
|
|
| Característica | Description (Descripción) |
| --- |--- |
| Proveedor de identidades OIDC | Emita tokens de identificación para autenticar a los usuarios |
| Servidor de autorización | Emita tokens de acceso para autorizar el acceso de los usuarios a APIs |
| Proveedor de servicios SAML 2.0 | Transforma las afirmaciones de SAML en identificadores y identificadores de acceso |
| Parte que confía en el OIDC | Transforma los tokens OIDC en tokens de identificación y acceso |
| Proveedor social: parte confiante | Transforma los identificadores de Apple, Facebook, Amazon o Google en tus propios identificadores y tokens de acceso |
| Servicio frontend de autenticación | Registre, gestione y autentique a los usuarios con un inicio de sesión gestionado |
| Soporte de API para su propia interfaz de usuario | Se admiten AWS SDKs solicitudes de API de autenticación para crear, gestionar y autenticar usuarios ¹ |
| Autenticación multifactor | Utilice los mensajes SMS o el dispositivo de su usuario como factor de autenticación adicional¹ TOTPs |
| Supervisión y respuesta de seguridad | Protéjase contra actividades maliciosas y contraseñas inseguros¹ |
| Personalice los flujos de autenticación | Cree su propio mecanismo de autenticación o añada pasos personalizados a los flujos existentes² |
| Groups | Cree agrupaciones lógicas de usuarios y una jerarquía de las funciones de IAM al pasar los tokens a los grupos de identidades |
| Personalice los tokens | Personaliza tu ID y accede a los tokens con reclamos nuevos, modificados y suprimidos |
| Personalice los atributos del usuario | Asigna valores a los atributos de usuario y añade tus propios atributos personalizados |
¹ La característica no está disponible para los usuarios federados.
² Esta característica no está disponible para usuarios federados ni con inicio de sesión administrado.
Para obtener más información sobre los grupos de usuarios, consulte [Introducción a los grupos de usuarios](getting-started-user-pools.md) y la [Referencia de la API de grupos de usuarios de Amazon Cognito](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/).
### Grupos de identidades
Un grupo de identidades es un conjunto de identificadores únicos, o identidades, que usted asigna a sus usuarios o invitados y autoriza a recibir AWS credenciales temporales. Cuando presentas una prueba de autenticación a un grupo de identidades en forma de afirmaciones confiables de un proveedor de identidad social (IdP) SAML 2.0, OpenID Connect (OIDC) o 2.0 OAuth , asocias a tu usuario con una identidad del grupo de identidades. El token que tu grupo de identidades crea para la identidad puede recuperar las credenciales de sesión temporales de (). AWS Security Token Service AWS STS
Para complementar las identidades autenticadas, también puede configurar un grupo de identidades para autorizar el AWS acceso sin la autenticación del IdP. Puede ofrecer una prueba de autenticación personalizada con [Identidades autenticadas por el desarrollador](developer-authenticated-identities.md). Puede conceder credenciales de AWS temporales a usuarios invitados con [identidades no autenticadas](identity-pools.md#authenticated-and-unauthenticated-identities).
Con los grupos de identidades, tiene dos formas de integrarse con las políticas de IAM en su Cuenta de AWS. Puede utilizar estas dos características juntas o de forma individual.
**Control de acceso con base en roles**
Cuando el usuario pasa las reclamaciones al grupo de identidades, Amazon Cognito elige el rol de IAM que solicita. Para personalizar los permisos del rol según las necesidades, se aplican las políticas de IAM a cada rol. Por ejemplo, si el usuario demuestra que trabaja en el departamento de marketing, recibirá credenciales para un rol con políticas adaptadas a las necesidades de acceso del departamento de marketing. Amazon Cognito puede solicitar un rol predeterminado, un rol basado en reglas que consultan las reclamaciones del usuario o un rol basado en la suscripción al grupo del usuario en un grupo de usuarios. También puede configurar la política de confianza de roles para que IAM confíe solo en el grupo de identidades para generar sesiones temporales.
**Atributos para controlar el acceso**
El grupo de identidades lee los atributos de las reclamaciones de los usuarios y los asigna a las etiquetas de las entidades principales de la sesión temporal del usuario. A continuación, puede configurar las políticas basadas en recursos de IAM para permitir o denegar el acceso a los recursos en función de las entidades principales de IAM que contienen las etiquetas de sesión del grupo de identidades. Por ejemplo, si el usuario demuestra que está en el departamento de marketing, AWS STS etiqueta su sesión. `Department: marketing` Su bucket de Amazon S3 permite realizar operaciones de lectura en función de una PrincipalTag condición [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) que requiere un valor de `marketing` para la `Department` etiqueta.
|
|
| Característica | Description (Descripción) |
| --- |--- |
| Parte que confía en el grupo de usuarios de Amazon Cognito | Cambie un token de identificación de su grupo de usuarios por credenciales de identidad web de AWS STS |
| Proveedor de servicios SAML 2.0 | Intercambie las afirmaciones de SAML para obtener credenciales de identidad web desde AWS STS |
| Parte de confianza del OIDC | Cambie los tokens OIDC por credenciales de identidad web desde AWS STS |
| Proveedor social: parte de confianza | Intercambia OAuth fichas de Amazon, Facebook, Google, Apple y Twitter por credenciales de identidad web de AWS STS |
| Parte de confianza personalizada | Con AWS las credenciales, puede intercambiar solicitudes en cualquier formato por credenciales de identidad web desde AWS STS |
| Acceso sin autenticar | Emita credenciales de identidad web de acceso limitado sin autenticación AWS STS |
| Control de acceso con base en roles | Elija una función de IAM para su usuario autenticado en función de sus afirmaciones y configure sus funciones para que solo las asuma en el contexto de su conjunto de identidades |
| Control de acceso basado en atributos | Convierte las notificaciones en etiquetas principales para tu sesión AWS STS temporal y utiliza las políticas de IAM para filtrar el acceso a los recursos en función de las etiquetas principales |
Para obtener más información sobre los grupos de identidades, consulte [Introducción a los grupos de identidades de Amazon Cognito](getting-started-with-identity-pools.md) y la [Referencia de la API de grupos de identidades de Amazon Cognito](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/).
## Comparación de grupos de usuarios y grupos de identidades de Amazon Cognito
|
|
| Característica | Description (Descripción) | Grupos de usuarios | Grupos de identidades |
| --- |--- |--- |--- |
| Proveedor de identidades OIDC | Emita tokens de ID de OIDC para autenticar a los usuarios de la aplicación | ✓ | |
| Directorio de usuarios | Almacene los perfiles de usuario para la autenticación | ✓ | |
| Autoriza el acceso a la API | Emita tokens de acceso para autorizar el acceso de los usuarios a bases de datos y otros recursos que acepten OAuth ámbitos APIs (incluidas las operaciones de API de autoservicio del perfil de usuario) | ✓ | |
| Autorización de identidad web de IAM | Genera fichas con las que puedas canjearlas AWS STS por credenciales temporales AWS | | ✓ |
| Proveedor de servicios SAML 2.0 y proveedor de identidad OIDC | Emita tokens OIDC personalizados en función de las afirmaciones de un proveedor de identidad de SAML 2.0 | ✓ | |
| Parte de confianza del OIDC y proveedor de identidad del OIDC | Emita tokens OIDC personalizados en función de las afirmaciones de un proveedor de identidad del OIDC | ✓ | |
| OAuth Parte que confía en 2.0 y proveedor de identidad del OIDC | Emite tokens OIDC personalizados basados en los alcances de los proveedores sociales OAuth 2.0, como Apple y Google | ✓ | |
| Proveedor de servicios y agente de credenciales SAML 2.0 | Emita AWS credenciales temporales en función de las afirmaciones de un proveedor de identidad de SAML 2.0 | | ✓ |
| Persona de confianza y agente de credenciales del OIDC | Emita AWS credenciales temporales en función de las afirmaciones de un proveedor de identidad del OIDC | | ✓ |
| Proveedor social, persona de confianza y agente de credenciales | Emita AWS credenciales temporales basadas en tokens web JSON de aplicaciones de desarrolladores con proveedores sociales como Apple y Google | | ✓ |
| Agente de credenciales y agente de confianza del grupo de usuarios de Amazon Cognito | Emita AWS credenciales temporales basadas en tokens web JSON de grupos de usuarios de Amazon Cognito | | ✓ |
| Agente de credenciales y persona de confianza personalizada | Emita AWS credenciales temporales para identidades arbitrarias, autorizadas por las credenciales de IAM del desarrollador | | ✓ |
| Servicio frontend de autenticación | Registre, gestione y autentique a los usuarios con un inicio de sesión gestionado | ✓ | |
| Soporte de API para su propia interfaz de usuario de autenticación | Se admite AWS SDKs la creación, gestión y autenticación de usuarios mediante solicitudes de API ¹ | ✓ | |
| MFA | Utilice los mensajes SMS o el dispositivo de su usuario como factor de autenticación adicional¹ TOTPs | ✓ | |
| Supervisión y respuesta de seguridad | Protéjase contra actividades maliciosas y contraseñas inseguros¹ | ✓ | |
| Personalice los flujos de autenticación | Cree su propio mecanismo de autenticación o añada pasos personalizados a los flujos existentes¹ | ✓ | |
| Grupos de usuarios | Cree agrupaciones lógicas de usuarios y una jerarquía de las funciones de IAM al pasar los tokens a los grupos de identidades | ✓ | |
| Personalice los tokens | Personaliza tu ID y accede a los tokens con pretensiones y alcances nuevos, modificados y suprimidos | ✓ | |
| AWS WAF web ACLs | Supervise y controle las solicitudes a su interfaz de autenticación con AWS WAF | ✓ | |
| Personalice los atributos del usuario | Asigna valores a los atributos de usuario y añade tus propios atributos personalizados | ✓ | |
| Acceso sin autenticar | Emita credenciales de identidad web de acceso limitado sin autenticación AWS STS | | ✓ |
| Control de acceso con base en roles | Elija un rol de IAM para su usuario autenticado en función de sus afirmaciones y configure la confianza de su rol para limitar el acceso a los usuarios de identidad web | | ✓ |
| Control de acceso basado en atributos | Transforma las afirmaciones de los usuarios en etiquetas principales para tu sesión AWS STS temporal y utiliza las políticas de IAM para filtrar el acceso a los recursos en función de las etiquetas principales | | ✓ |
¹ La característica no está disponible para los usuarios federados.
## Introducción a Amazon Cognito
Para ver ejemplos de aplicaciones de grupos de usuarios, consulte [Introducción a los grupos de usuarios](getting-started-user-pools.md).
Para ver una introducción a los grupos de identidades, consulte [Introducción a los grupos de identidades de Amazon Cognito](getting-started-with-identity-pools.md).
Para obtener enlaces a experiencias de configuración guiada con grupos de usuarios y grupos de identidades, consulte [Opciones de configuración guiada para Amazon Cognito](cognito-guided-setup.md).
Para empezar a usar un AWS SDK, consulta [las Herramientas para AWS desarrolladores](https://aws.amazon.com/products/developer-tools). Si quiere ver los recursos para desarrolladores específicos de Amazon Cognito, consulte [Recursos para desarrolladores de Amazon Cognito](https://aws.amazon.com/cognito/dev-resources/).
Para usar Amazon Cognito necesita una Cuenta de AWS. Para obtener más información, consulte [Cómo empezar con AWS](cognito-getting-started-account-iam.md).
## Disponibilidad regional
Amazon Cognito está disponible en varias AWS regiones del mundo. En cada región, Amazon Cognito se distribuye en varias zonas de disponibilidad. Estas zonas de disponibilidad están físicamente aisladas entre sí, pero están unidas mediante conexiones de red privadas con un alto nivel de rendimiento y redundancia y con baja latencia. Estas zonas de disponibilidad permiten AWS proporcionar servicios, incluido Amazon Cognito, con niveles muy altos de disponibilidad y redundancia, a la vez que minimizan la latencia.
Para ver si Amazon Cognito está disponible actualmente en alguno de ellos Región de AWS, consulte [AWS Servicios por región](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Para obtener más información sobre los puntos de conexión del servicio de API regional, consulte los [puntos de conexión y las regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html##cognito_identity_region) en la *Referencia general de Amazon Web Services*.
Para obtener más información sobre la cantidad de zonas de disponibilidad de cada región, consulte [Infraestructura global de AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
## Precios de Amazon Cognito
Para obtener más información sobre los precios de Amazon Cognito, consulte [Precios de Amazon Cognito](https://aws.amazon.com/cognito/pricing/).
# Términos y conceptos comunes de Amazon Cognito
Amazon Cognito proporciona credenciales para aplicaciones móviles y web. Se basa en términos que son de uso común en la *administración de identidades y accesos*. Tiene a su disposición numerosas guías sobre los términos de identidad y acceso universales. Algunos ejemplos son:
+ La [terminología](https://bok.idpro.org/article/id/41/) de la página Terminology in the IDPro Body of Knowledge
+ [Servicios de AWS Identity](https://aws.amazon.com/identity/)
+ El [glosario](https://csrc.nist.gov/glossary) de CSRC de NIST
En las siguientes listas se describen los términos que son exclusivos de Amazon Cognito o que tienen un contexto específico en Amazon Cognito.
**Topics**
+ [
## General
](#cognito-terms-general)
+ [
## Grupos de usuarios
](#cognito-terms-user-pools)
+ [
## Grupos de identidades
](#cognito-terms-identity-pools)
## General
Los términos de esta lista no son específicos de Amazon Cognito y son ampliamente reconocidos entre los profesionales de la administración de identidades y accesos. No se trata de una lista exhaustiva de términos, sino simplemente una guía sobre su contexto de Amazon Cognito específico en esta guía.
**Token de acceso**
Un token web JSON (JWT) que contiene información sobre la [autorización](#terms-authorization) de una entidad para acceder a los sistemas de información.
**Aplicación o app**
Normalmente, se trata de una aplicación móvil. En esta guía, *app* suele ser la forma abreviada de una aplicación web o móvil que se conecta a Amazon Cognito.
**Control de acceso basado en atributos (ABAC)**
Modelo en el que una aplicación determina el acceso a los recursos en función de las propiedades de un usuario, como su cargo o departamento. Las herramientas de Amazon Cognito para aplicar el ABAC incluyen los tokens de identificación en los grupos de usuarios y las [etiquetas de entidades principales](#term-afac) en los grupos de identidades.
**Autenticación**
El proceso para establecer una identidad auténtica con el fin de acceder a un sistema de información. Amazon Cognito acepta pruebas de autenticación de proveedores de identidad externos y también actúa como proveedor de autenticación para aplicaciones de software.
**Autorización**
El proceso para conceder permisos a un recurso. Los [tokens de acceso](#terms-accesstoken) de un grupo de usuarios contienen información que las aplicaciones pueden utilizar para permitir que los usuarios y los sistemas accedan a los recursos.
**Servidor de autorización**
Un sistema OAuth u OpenID Connect (OIDC) que genera [tokens web JSON](#terms-jwt). El [servidor de autorización administrado](#terms-managedauthorizationserver) de grupos de usuarios de Amazon Cognito es el componente del servidor de autorización de los dos métodos de autenticación y autorización en los grupos de usuarios. Los grupos de usuarios también admiten los flujos de desafío-respuesta de la API en la [autenticación de SDK](#terms-upapi).
**Aplicación confidencial, aplicación de servidor**
Aplicación a la que los usuarios se conectan de forma remota, con el código en un servidor de aplicaciones y acceso a secretos. Por lo general, se trata de una aplicación web.
**Proveedor de identidades (IdP)**
Servicio que almacena y verifica las identidades de los usuarios. Amazon Cognito puede solicitar la autenticación a [proveedores externos](#terms-externalprovider) y ser un IdP para las aplicaciones.
**Token web JSON (JWT)**
Documento con formato JSON que contiene notificaciones sobre un usuario autenticado. Los tokens de ID autentican a los usuarios, los de acceso los autorizan y los de actualización actualizan las credenciales. Amazon Cognito recibe tokens de [proveedores externos](#terms-externalprovider) y los envía a aplicaciones o a AWS STS.
**Autorización de máquina a máquina (M2M)**
El proceso para autorizar las solicitudes a los puntos de conexión de la API para entidades de máquina que no interactúan con el usuario, como un nivel de aplicación de servidor web. Los grupos de usuarios sirven la autorización M2M en concesiones de credenciales de cliente con ámbitos OAuth 2.0 en [tokens de acceso](#terms-accesstoken).
**Autenticación multifactor (MFA)**
Requisito por el que se exige a los usuarios que proporcionen una autenticación adicional después de proporcionar su nombre de usuario y contraseña. Los grupos de usuarios de Amazon Cognito cuentan con características de MFA para los [usuarios locales](#terms-localuser).
**Proveedor de OAuth 2.0 (redes sociales)**
Un IdP para un grupo de usuarios o un grupo de identidades que proporciona acceso a [JWT](#terms-jwt) y actualiza los tokens. Los grupos de usuarios de Amazon Cognito automatizan las interacciones con los proveedores de redes sociales una vez que los usuarios se autentican.
**Proveedor de OpenID Connect (OIDC)**
IdP para un grupo de usuarios o un grupo de identidades que amplía la especificación de [OAuth](#terms-oauth) para proporcionar tokens de ID. Los grupos de usuarios de Amazon Cognito automatizan las interacciones con los proveedores de OIDC una vez que los usuarios se autentican.
**Clave de acceso, WebAuthn**
Forma de autenticación en la que las claves criptográficas, o claves de acceso, del dispositivo de un usuario proporcionan su prueba de autenticación. Los usuarios verifican que están presentes con mecanismos biométricos o de código PIN en un autenticador de hardware o software. Las claves de acceso son útiles para prevenir la suplantación de identidad y están vinculadas a sitios web o aplicaciones específicos, lo que ofrece una experiencia segura sin contraseñas. Los grupos de usuarios de Amazon Cognito admiten el inicio de sesión con claves de acceso.
**Sin contraseña**
Una forma de autenticación en la que el usuario no tiene que introducir una contraseña. Algunos de los métodos de inicio de sesión sin contraseña son las contraseñas de un solo uso (OTP), que se envían a direcciones de correo electrónico y números de teléfono, y las claves de acceso. Los grupos de usuarios de Amazon Cognito admiten el inicio de sesión con OTP y claves de acceso.
**Aplicación pública**
Aplicación autónoma en un dispositivo, con el código almacenado localmente y sin acceso a datos secretos. Por lo general, se trata de una aplicación móvil.
**Servidor de recursos**
API con control de acceso. Los grupos de usuarios de Amazon Cognito también utilizan el *servidor de recursos* para describir el componente que define la configuración para interactuar con una API.
**Control de acceso basado en roles (RBAC)**
Modelo que concede el acceso en función de la designación funcional de un usuario. Los grupos de identidades de Amazon Cognito implementan el RBAC diferenciando entre los roles de IAM.
**Proveedor de servicios (SP), relación de confianza (RP)**
Aplicación que se basa en un IdP para afirmar que los usuarios son fiables. Amazon Cognito actúa como un SP para los IdP externos y como un IdP para los SP basados en aplicaciones.
**Proveedor SAML**
IdP para un grupo de usuarios o un grupo de identidades que genera documentos de aserción firmados digitalmente y que el usuario pasa a Amazon Cognito.
**Identificador único universal (UUID)**
Etiqueta de 128 bits que se aplica a un objeto. Los UUID de Amazon Cognito son únicos por grupo de usuarios o grupo de identidades, pero no se ajustan a un formato de UUID específico.
**Directorio de usuarios**
Conjunto de usuarios y sus atributos que proporciona esa información a otros sistemas. Los grupos de usuarios de Amazon Cognito son directorios de usuarios y también herramientas para consolidar usuarios de directorios de usuarios externos.
## Grupos de usuarios
Cuando vea los términos de la lista siguiente en esta guía, se refieren a una característica o configuración específica de los grupos de usuarios.
**Autenticación flexible**
Característica de [seguridad avanzada](#term-advancedsecurity) que detecta posibles actividades maliciosas y aplica medidas de seguridad adicionales a los [perfiles de usuario](#terms-userprofile).
**Cliente de aplicación**
Componente que define la configuración de un grupo de usuarios como un IdP de una aplicación.
**URL de devolución de llamada, URI de redireccionamiento, URL de devolución**
Una configuración en un [cliente de aplicación](#term-appclient) y un parámetro en las solicitudes al [servidor de autorización](#terms-managedauthorizationserver) del grupo de usuarios. La URL de devolución de llamada es el destino inicial de los usuarios autenticados de su [aplicación](#term-app).
**Autenticación basada en opciones**
Una forma de autenticación mediante API con grupos de usuarios en la que cada usuario tiene a su disposición un conjunto de opciones de inicio de sesión. Sus opciones pueden incluir el nombre de usuario y la contraseña con o sin MFA, el inicio de sesión con clave de acceso o el inicio de sesión con contraseñas de un solo uso por correo o SMS sin contraseña establecida. La aplicación puede configurar el proceso de elección de los usuarios solicitando una lista de opciones de autenticación o declarando una opción preferida.
Puede comparar esto con la [autenticación basada en el cliente](#terms-declarativeauthentication).
**Autenticación basada en el cliente**
Una forma de autenticación con la API de los grupos de usuarios y los backends de aplicaciones creados con AWS SDK. En la autenticación declarativa, la aplicación determina de forma independiente el tipo de inicio de sesión que debe realizar un usuario y lo solicita por adelantado.
Puede comparar esto con la [autenticación basada en opciones](#terms-choicebasedauthentication).
**Credenciales comprometidas**
Característica de [seguridad avanzada](#term-advancedsecurity) que detecta las contraseñas de los usuarios que los atacantes podrían conocer y aplica medidas de seguridad adicionales a los [perfiles de usuario](#terms-userprofile).
**Confirmación**
Proceso que determina que se han cumplido los requisitos previos para permitir que un nuevo usuario inicie sesión. Por lo general, la confirmación se realiza mediante la [verificación](#terms-verification) de la dirección de correo electrónico o el número de teléfono.
**Autenticación personalizada**
Extensión de los procesos de autenticación con [desencadenadores de Lambda](#terms-triggers) que definen desafíos y respuestas adicionales para los usuarios.
**Autenticación del dispositivo**
Proceso de autenticación que reemplaza la [MFA](#terms-mfa) por un inicio de sesión que usa el ID de un dispositivo de confianza.
**Dominio, dominio del grupo de usuarios**
Un dominio web que aloja sus [páginas de inicio de sesión administrado](#terms-managedlogin) en AWS. Puede configurar el DNS en un dominio de su propiedad o usar un prefijo de subdominio de identificación en un dominio propiedad de AWS.
**Plan Essentials**
El [plan de características](#terms-featureplan) con las últimas novedades en grupos de usuarios. El plan Essentials no incluye las características de seguridad de aprendizaje automático del [plan Plus](#terms-plusplan).
**Proveedor externo**
IdP que tiene una relación de confianza con un grupo de usuarios. Los grupos de usuarios actúan como una entidad intermedia entre los proveedores externos y su aplicación, y gestionan los procesos de autenticación con SAML 2.0, OIDC y los proveedores sociales. Los grupos de usuarios reúnen los resultados de autenticación de proveedores externos en un único IdP para que sus aplicaciones puedan procesar a muchos usuarios con una única biblioteca de OIDC que depende de ellos.
**Plan de características**
El grupo de características que puede seleccionar para un grupo de usuarios. Los planes de características tienen costos diferentes en la factura de AWS. Los grupos de usuarios nuevos están incluidos de forma predeterminada en el [plan Essentials](#terms-essentialsplan).
**Planes actuales**
+ [Plan Lite](#terms-liteplan)
+ [Plan Essentials](#terms-essentialsplan)
+ [Plan Plus](#terms-plusplan)
**Usuario federado, usuario externo**
Usuario de un grupo de usuarios autenticado por un [proveedor externo](#terms-externalprovider).
**Interfaz de usuario alojada (clásica), páginas de interfaz de usuario alojadas**
La primera versión de los servicios de interfaz de autenticación, actor de confianza y proveedor de identidad en el dominio del grupo de usuarios. La interfaz de usuario alojada tiene un conjunto básico de características y una apariencia simplificada. Puede aplicar la marca de interfaz de usuario alojada cargando un archivo de imagen con el logotipo y un archivo con un conjunto predeterminado de estilos CSS. Puede comparar esto con el [inicio de sesión administrado](#terms-managedlogin).
**Desencadenador de Lambda**
Función de AWS Lambda que un grupo de usuarios puede invocar automáticamente en puntos clave de los procesos de autenticación de usuarios. Puede usar desencadenadores de Lambda para personalizar los resultados de la autenticación.
**Usuario local**
[Perfil de usuario](#terms-userprofile) en el [directorio de usuarios](#terms-userdirectory) del grupo de usuarios que no se ha creado mediante la autenticación con un [proveedor externo](#terms-externalprovider).
**Usuario vinculado**
Usuario de un [proveedor externo](#terms-externalprovider) cuya identidad se combina con la de un [usuario local](#terms-localuser).
**Plan Lite**
El [plan de características](#terms-featureplan) con las características que se lanzaron originalmente con los grupos de usuarios. El plan Lite no incluye las nuevas características del [plan Essentials](#terms-essentialsplan) ni las características de seguridad de aprendizaje automático del [plan Plus](#terms-plusplan).
**Servidor de autorización administrado, servidor de autorización de interfaz de usuario alojada, servidor de autorización**
Un componente del [inicio de sesión administrado](#terms-managedlogin) que aloja servicios para la interacción con proveedores de identidad (IdP) y aplicaciones en el [dominio de su grupo de usuarios](#terms-domain). La [interfaz de usuario administrada](#terms-hostedui) se diferencia del inicio de sesión administrado en las características interactivas para el usuario que ofrece, pero tiene las mismas capacidades de servidor de autorización.
**Inicio de sesión administrado, páginas de inicio de sesión administrado**
Conjunto de páginas web del [dominio del grupo de usuarios](#terms-domain) que alojan servicios para la autenticación de usuarios. Estos servicios incluyen funciones para operar como un [IdP](#terms-idp), un [actor de confianza](#terms-relyingparty) para los IdP externos y un servidor de una interfaz de usuario de autenticación interactiva para el usuario. Al establecer un dominio para su grupo de usuarios, Amazon Cognito pone en línea todas las páginas del inicio de sesión administrado.
Su aplicación importa bibliotecas OIDC que invocan los navegadores de los usuarios y las dirige a la interfaz de usuario de inicio de sesión administrado para realizar las operaciones de registro, inicio de sesión, administración de contraseñas y otras operaciones de autenticación. Tras la autenticación, las bibliotecas OIDC pueden procesar el resultado de la solicitud de autenticación.
**Autenticación del inicio de sesión administrado**
Inicie sesión con los servicios del [dominio de su grupo de usuarios](#terms-domain), mediante páginas del navegador interactivas para el usuario o solicitudes de API HTTPS. Las aplicaciones gestionan la autenticación del inicio de sesión administrado con las bibliotecas OpenID Connect (OIDC). Este proceso incluye el inicio de sesión con [proveedores externos](#terms-externalprovider), el inicio de sesión de usuarios locales con páginas de inicio de sesión administrado interactivas y la [autorización M2M](#terms-m2m). La autenticación con la [interfaz de usuario alojada](#terms-hostedui) clásica también se incluye en este término.
Puede comparar esto con la [autenticación con AWS SDK](#terms-upapi).
**Plan Plus**
El [plan de características](#terms-featureplan) con las últimas novedades y características de seguridad avanzadas en grupos de usuarios.
**Autenticación SDK, autenticación AWS SDK**
Un conjunto de operaciones API de autenticación y autorización que puede añadir a su backend de aplicación con un AWS SDK. Este modelo de autenticación necesita su propio mecanismo de inicio de sesión personalizado. La API puede iniciar sesión tanto en [usuarios locales](#terms-localuser) como en [usuarios vinculados](#terms-linkeduser).
Puede comparar esto con la [autenticación de inicio de sesión administrado](#terms-managedloginauthentication).
**Protección contra amenazas, características de seguridad avanzadas**
En los grupos de usuarios, la protección contra amenazas se refiere a las tecnologías diseñadas para mitigar las amenazas a los mecanismos de autenticación y autorización. La autenticación flexible, la detección de credenciales comprometidas y las listas de direcciones IP bloqueadas pertenecen a la categoría de protección contra amenazas.
**Personalización del token**
Resultado de un [desencadenador de Lambda](#terms-triggers) previo a la generación del token que modifica el ID de usuario o el token de acceso en tiempo de ejecución.
**Grupo de usuarios, proveedor de identidades de Amazon Cognito, `cognito-idp`, grupos de usuarios de Amazon Cognito**
Recurso de AWS con servicios de autenticación y autorización para aplicaciones que funcionan con los IdP OIDC.
**Verificación**
Proceso de confirmación de que un usuario es propietario de una dirección de correo electrónico o un número de teléfono. Un grupo de usuarios envía un código a un usuario que ha introducido una dirección de correo electrónico o un número de teléfono nuevos. Cuando el usuario envía el código a Amazon Cognito, demuestra que es propietario del destino del mensaje y puede recibir mensajes adicionales del grupo de usuarios. Consulte también [confirmación](#terms-confirmation).
**Perfil de usuario, cuenta de usuario**
Entrada de un usuario en el [directorio de usuarios](#terms-userdirectory). Todos los usuarios, incluidos los de IdP de terceros, tienen un perfil en su grupo de usuarios.
## Grupos de identidades
Cuando vea los términos de la lista siguiente en esta guía, se refieren a una característica o configuración específica de los grupos de identidades.
**Atributos para controlar el acceso**
Implementación del [control de acceso basado en atributos](#terms-abac) en los grupos de identidades. Los grupos de identidades aplican los atributos del usuario como etiquetas a las credenciales de los usuarios.
**Autenticación básica (clásica)**
Proceso de autenticación en el que puede personalizar la solicitud de [credenciales de usuario](#terms-usercredentials).
**Identidades autenticadas por el desarrollador**
Proceso de autenticación que autoriza las [credenciales de usuario](#terms-usercredentials) del grupo de identidades con las [credenciales de desarrollador](#terms-developercredentials).
**Credenciales de desarrollador**
Claves de la API de IAM de un administrador de grupos de identidades.
**Autenticación mejorada**
Flujo de autenticación que selecciona un rol de IAM y aplica las etiquetas de entidades principales de acuerdo con la lógica que defina en su grupo de identidades.
**Identidad**
[UUID](#terms-uuid) que vincula a un usuario de la aplicación y sus [credenciales de usuario](#terms-usercredentials) a su perfil en un [directorio de usuarios](#terms-userdirectory) externo que tiene una relación de confianza con un grupo de identidades.
**Grupo de identidades, identidades federadas de Amazon Cognito, identidad de Amazon Cognito, `cognito-identity`**
Recurso de AWS con servicios de autenticación y autorización para aplicaciones que utilizan [credenciales de AWS temporales](#terms-usercredentials).
**Identidad no autenticada**
Usuario que no ha iniciado sesión con un IdP de grupo de identidades. Puede permitir que los usuarios generen credenciales de usuario limitadas para un único rol de IAM antes de autenticarse.
**Credenciales de usuario**
Claves de API de AWS temporales que los usuarios reciben tras la autenticación del grupo de identidades.
# Cómo empezar con AWS
Antes de empezar a trabajar con Amazon Cognito, prepárese con algunos recursos necesarios AWS . Si ya puede iniciar sesión en una Cuenta de AWS, puede saltarse esta sección. Siga leyendo si busca información sobre cómo registrarse e iniciar sesión con AWS credenciales. Una vez que tenga credenciales con permisos AWS Identity and Access Management (de IAM) suficientes, podrá empezar con los grupos de [usuarios y los grupos](getting-started-user-pools.md) de [identidades](getting-started-with-identity-pools.md).
## Inscríbase para obtener una Cuenta de AWS
Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.
**Para suscribirse a una Cuenta de AWS**
1. Abrir [https://portal.aws.amazon.com/billing/registro](https://portal.aws.amazon.com/billing/signup).
1. Siga las instrucciones que se le indiquen.
Parte del procedimiento de registro consiste en recibir una llamada telefónica o mensaje de texto e indicar un código de verificación en el teclado del teléfono.
Cuando te registras en un Cuenta de AWS, *Usuario raíz de la cuenta de AWS*se crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar [Tareas que requieren acceso de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. En cualquier momento, puede ver la actividad de su cuenta actual y administrarla accediendo a [https://aws.amazon.com/](https://aws.amazon.com/)y seleccionando **Mi cuenta**.
## Creación de un usuario con acceso administrativo
Después de crear un usuario administrativo Cuenta de AWS, asegúrelo Usuario raíz de la cuenta de AWS AWS IAM Identity Center, habilite y cree un usuario administrativo para no usar el usuario root en las tareas diarias.
**Proteja su Usuario raíz de la cuenta de AWS**
1. Inicie sesión [Consola de administración de AWS](https://console.aws.amazon.com/)como propietario de la cuenta seleccionando el **usuario root** e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.
Para obtener ayuda para iniciar sesión con el usuario raíz, consulte [Iniciar sesión como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) en la *Guía del usuario de AWS Sign-In *.
1. Active la autenticación multifactor (MFA) para el usuario raíz.
Para obtener instrucciones, consulte [Habilitar un dispositivo MFA virtual para el usuario Cuenta de AWS raíz (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) en la Guía del usuario de *IAM*.
**Creación de un usuario con acceso administrativo**
1. Activar IAM Identity Center.
Consulte las instrucciones en [Activar AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) en la *Guía del usuario de AWS IAM Identity Center *.
1. En IAM Identity Center, conceda acceso administrativo a un usuario.
Para ver un tutorial sobre su uso Directorio de IAM Identity Center como fuente de identidad, consulte [Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) Guía del *AWS IAM Identity Center usuario*.
**Inicio de sesión como usuario con acceso de administrador**
+ Para iniciar sesión con el usuario de IAM Identity Center, use la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.
Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte [Iniciar sesión en el portal de AWS acceso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) en la *Guía del AWS Sign-In usuario*.
**Concesión de acceso a usuarios adicionales**
1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.
Para conocer las instrucciones, consulte [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) en la *Guía del usuario de AWS IAM Identity Center *.
1. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.
Para conocer las instrucciones, consulte [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) en la *Guía del usuario de AWS IAM Identity Center *.