Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Apa itu Amazon Cognito?
Amazon Cognito adalah platform identitas untuk aplikasi web dan seluler. Ini adalah direktori pengguna, server otentikasi, dan layanan otorisasi untuk token akses OAuth 2.0 dan AWS kredensil. Dengan Amazon Cognito, Anda dapat mengautentikasi dan mengotorisasi pengguna dari direktori pengguna bawaan, dari direktori perusahaan Anda, dan dari penyedia identitas konsumen seperti Google dan Facebook.
**Topics**
+ [
## Kolam pengguna
](#what-is-amazon-cognito-user-pools)
+ [
## Kolam identitas
](#what-is-amazon-cognito-identity-pools)
+ [
## Fitur Amazon Cognito
](#what-is-amazon-cognito-features)
+ [
## Perbandingan kumpulan pengguna Amazon Cognito dan kumpulan identitas
](#what-is-amazon-cognito-features-comparison)
+ [
## Memulai dengan Amazon Cognito
](#getting-started-overview)
+ [
## Ketersediaan wilayah
](#getting-started-regional-availability)
+ [
## Harga untuk Amazon Cognito
](#pricing-for-amazon-cognito)
+ [
# Istilah dan konsep Amazon Cognito yang umum
](cognito-terms.md)
+ [
# Memulai dengan AWS
](cognito-getting-started-account-iam.md)
Dua komponen yang mengikuti membentuk Amazon Cognito. Mereka beroperasi secara independen atau bersama-sama, berdasarkan kebutuhan akses Anda untuk pengguna Anda.
## Kolam pengguna
![\[Amazon Cognito user pool authentication flow with app, identity provider, and API/Database.\]](http://docs.aws.amazon.com/id_id/cognito/latest/developerguide/images/user-pools-overview.png)
Buat kumpulan pengguna saat Anda ingin mengautentikasi dan mengotorisasi pengguna ke aplikasi atau API Anda. Kumpulan pengguna adalah direktori pengguna dengan pembuatan, manajemen, dan otentikasi pengguna swalayan dan berbasis administrator. Kumpulan pengguna Anda dapat berupa direktori independen dan penyedia identitas OIDC (IDP), dan penyedia layanan perantara (SP) ke penyedia tenaga kerja dan identitas pelanggan pihak ketiga. Anda dapat menyediakan sistem masuk tunggal (SSO) di aplikasi untuk identitas tenaga kerja organisasi Anda di SAMP 2.0 dan OIDC dengan kumpulan pengguna. IdPs Anda juga dapat menyediakan SSO di aplikasi untuk identitas pelanggan organisasi Anda di toko identitas OAuth 2.0 publik Amazon, Google, Apple, dan Facebook. Untuk informasi lebih lanjut tentang identitas pelanggan dan manajemen akses (CIAM), lihat [Apa itu CIAM](https://aws.amazon.com/what-is/ciam/)? .
Kumpulan pengguna tidak memerlukan integrasi dengan kumpulan identitas. Dari kumpulan pengguna, Anda dapat mengeluarkan token web JSON yang diautentikasi (JWTs) langsung ke aplikasi, server web, atau API.
## Kolam identitas
![\[Diagram showing Amazon Cognito federated identities flow between app, identity pool, provider, and STS.\]](http://docs.aws.amazon.com/id_id/cognito/latest/developerguide/images/identity-pools-overview.png)
Siapkan kumpulan identitas Amazon Cognito saat Anda ingin mengotorisasi pengguna yang diautentikasi atau anonim untuk mengakses sumber daya Anda. AWS Kumpulan identitas mengeluarkan AWS kredensil bagi aplikasi Anda untuk menayangkan sumber daya kepada pengguna. Anda dapat mengautentikasi pengguna dengan penyedia identitas tepercaya, seperti kumpulan pengguna atau layanan SAMP 2.0. Ini juga dapat mengeluarkan kredensil secara opsional untuk pengguna tamu. Kumpulan identitas menggunakan kontrol akses berbasis peran dan atribut untuk mengelola otorisasi pengguna Anda untuk mengakses sumber daya Anda. AWS
Identity pool tidak memerlukan integrasi dengan user pool. Kumpulan identitas dapat menerima klaim yang diautentikasi langsung dari penyedia tenaga kerja dan identitas konsumen.
**Kumpulan pengguna Amazon Cognito dan kumpulan identitas yang digunakan bersama**
Dalam diagram yang memulai topik ini, Anda menggunakan Amazon Cognito untuk mengautentikasi pengguna Anda dan kemudian memberi mereka akses ke file. Layanan AWS
1. Pengguna aplikasi Anda masuk melalui kumpulan pengguna dan menerima OAuth 2,0 token.
1. Aplikasi Anda menukar token kumpulan pengguna dengan kumpulan identitas untuk AWS kredensil sementara yang dapat Anda gunakan dengan AWS APIs dan AWS Command Line Interface ()AWS CLI.
1. Aplikasi Anda menetapkan sesi kredensional kepada pengguna Anda, dan memberikan akses resmi seperti Amazon Layanan AWS S3 dan Amazon DynamoDB.
Untuk contoh lainnya yang menggunakan kumpulan identitas dan kumpulan pengguna, lihat Skenario [Amazon Cognito Umum](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-scenarios.html).
Di Amazon Cognito, *keamanan kewajiban cloud dari* [model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) sesuai dengan SOC 1-3, PCI DSS, ISO 27001, dan memenuhi syarat HIPAA-BAA. Anda dapat merancang *keamanan Anda di cloud di* Amazon Cognito agar sesuai dengan SOC1 -3, ISO 27001, dan HIPAA-BAA, tetapi tidak dengan PCI DSS. Untuk informasi selengkapnya, lihat [AWS layanan dalam cakupan](https://aws.amazon.com/compliance/services-in-scope/). Lihat juga [Pertimbangan data regional](https://docs.aws.amazon.com/cognito/latest/developerguide/security-cognito-regional-data-considerations.html).
## Fitur Amazon Cognito
### Kolam pengguna
Kumpulan pengguna Amazon Cognito adalah direktori pengguna. Dengan kumpulan pengguna, pengguna dapat masuk ke web atau aplikasi seluler Anda melalui Amazon Cognito, atau bergabung melalui iDP pihak ketiga. Pengguna federasi dan lokal memiliki profil pengguna di kumpulan pengguna Anda.
Pengguna lokal adalah mereka yang mendaftar atau Anda buat langsung di kumpulan pengguna Anda. Anda dapat mengelola dan menyesuaikan profil pengguna ini di Konsol Manajemen AWS, AWS SDK, atau AWS Command Line Interface (AWS CLI).
Kumpulan pengguna Amazon Cognito menerima token dan pernyataan dari pihak ketiga IdPs, dan mengumpulkan atribut pengguna ke dalam JWT yang dikeluarkan ke aplikasi Anda. Anda dapat menstandarisasi aplikasi pada satu set JWTs saat Amazon Cognito menangani interaksi IdPs dengan, memetakan klaimnya ke format token pusat.
Kumpulan pengguna Amazon Cognito dapat menjadi IDP mandiri. Amazon Cognito mengambil dari standar OpenID Connect (OIDC) untuk menghasilkan otentikasi dan otorisasi. JWTs Saat Anda masuk ke pengguna lokal, kumpulan pengguna Anda bersifat otoritatif bagi pengguna tersebut. Anda memiliki akses ke fitur-fitur berikut saat Anda mengautentikasi pengguna lokal.
+ Terapkan front-end web Anda sendiri yang memanggil API kumpulan pengguna Amazon Cognito untuk mengautentikasi, mengotorisasi, dan mengelola pengguna Anda.
+ Siapkan otentikasi multi-faktor (MFA) untuk pengguna Anda. Amazon Cognito mendukung kata sandi satu kali berbasis waktu (TOTP) dan MFA pesan SMS.
+ Aman terhadap akses dari akun pengguna yang berada di bawah kendali jahat.
+ Buat alur otentikasi multi-langkah kustom Anda sendiri.
+ Cari pengguna di direktori lain dan migrasikan mereka ke Amazon Cognito.
Kumpulan pengguna Amazon Cognito juga dapat memenuhi peran ganda sebagai penyedia layanan (SP) untuk Anda IdPs, dan iDP ke aplikasi Anda. Kumpulan pengguna Amazon Cognito dapat terhubung ke konsumen IdPs seperti Facebook dan Google, atau tenaga kerja IdPs seperti Okta dan Active Directory Federation Services (ADFS).
Dengan token OAuth 2.0 dan OpenID Connect (OIDC) yang bermasalah dengan kumpulan pengguna Amazon Cognito, Anda dapat
+ Menerima token ID di aplikasi Anda yang mengautentikasi pengguna, dan memberikan informasi yang Anda perlukan untuk menyiapkan profil pengguna
+ Terima token akses di API Anda dengan cakupan OIDC yang mengotorisasi panggilan API pengguna Anda.
+ Ambil AWS kredensil dari kumpulan identitas Amazon Cognito.
|
|
| Fitur | Deskripsi |
| --- |--- |
| Penyedia identitas OIDC | Menerbitkan token ID untuk mengautentikasi pengguna |
| Server otorisasi | Keluarkan token akses untuk mengotorisasi akses pengguna APIs |
| Penyedia layanan SALL 2.0 | Ubah pernyataan SAMP menjadi ID dan token akses |
| Partai mengandalkan OIDC | Ubah token OIDC menjadi ID dan token akses |
| Pihak yang mengandalkan penyedia sosial | Ubah token ID dari Apple, Facebook, Amazon, atau Google menjadi ID dan token akses Anda sendiri |
| Layanan frontend otentikasi | Mendaftar, mengelola, dan mengautentikasi pengguna dengan login terkelola |
| Dukungan API untuk UI Anda sendiri | Membuat, mengelola, dan mengautentikasi pengguna melalui permintaan API otentikasi yang didukung ¹ AWS SDKs |
| Otentikasi multi-faktor | Gunakan pesan SMS TOTPs, atau perangkat pengguna Anda sebagai faktor otentikasi tambahan¹ |
| Pemantauan & respons keamanan | Aman terhadap aktivitas berbahaya dan kata sandi yang tidak aman¹ |
| Sesuaikan alur otentikasi | Buat mekanisme otentikasi Anda sendiri, atau tambahkan langkah-langkah khusus ke aliran yang ada² |
| Grup | Buat pengelompokan logis pengguna, dan hierarki klaim peran IAM saat Anda meneruskan token ke kumpulan identitas |
| Kustomisasi token | Sesuaikan ID dan token akses Anda dengan klaim baru, dimodifikasi, dan ditekan |
| Sesuaikan atribut pengguna | Tetapkan nilai ke atribut pengguna dan tambahkan atribut kustom Anda sendiri |
¹ Fitur tidak tersedia untuk pengguna federasi.
² Fitur tidak tersedia untuk pengguna login federasi dan terkelola.
Untuk informasi selengkapnya tentang kumpulan pengguna, lihat [Memulai dengan kumpulan pengguna](getting-started-user-pools.md) referensi [API kumpulan pengguna Amazon Cognito](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/).
### Kolam identitas
Kumpulan identitas adalah kumpulan pengenal unik, atau identitas, yang Anda tetapkan kepada pengguna atau tamu Anda dan diberi wewenang untuk menerima kredensi sementara. AWS Ketika Anda menunjukkan bukti otentikasi ke kumpulan identitas dalam bentuk klaim tepercaya dari SAMP 2.0, OpenID Connect (OIDC), atau 2.0 OAuth social identity provider (iDP), Anda mengaitkan pengguna Anda dengan identitas di kolam identitas. Token yang dibuat oleh kumpulan identitas Anda untuk identitas dapat mengambil kredenal sesi sementara dari AWS Security Token Service ().AWS STS
Untuk melengkapi identitas yang diautentikasi, Anda juga dapat mengonfigurasi kumpulan identitas untuk mengotorisasi akses AWS tanpa autentikasi IDP. Anda dapat menawarkan bukti otentikasi khusus dengan[Identitas yang diautentikasi pengembang](developer-authenticated-identities.md). Anda juga dapat memberikan AWS kredensi sementara kepada pengguna tamu, dengan identitas yang [tidak](identity-pools.md#authenticated-and-unauthenticated-identities) diautentikasi.
Dengan kumpulan identitas, Anda memiliki dua cara untuk berintegrasi dengan kebijakan IAM di Anda Akun AWS. Anda dapat menggunakan kedua fitur ini bersama-sama atau secara individual.
**Kontrol akses berbasis peran**
Saat pengguna meneruskan klaim ke kumpulan identitas Anda, Amazon Cognito memilih peran IAM yang diminta. Untuk menyesuaikan izin peran dengan kebutuhan Anda, Anda menerapkan kebijakan IAM untuk setiap peran. Misalnya, jika pengguna Anda menunjukkan bahwa mereka berada di departemen pemasaran, mereka menerima kredensi untuk peran dengan kebijakan yang disesuaikan dengan kebutuhan akses departemen pemasaran. Amazon Cognito dapat meminta peran default, peran berdasarkan aturan yang menanyakan klaim pengguna, atau peran berdasarkan keanggotaan grup pengguna di kumpulan pengguna. Anda juga dapat mengonfigurasi kebijakan kepercayaan peran sehingga IAM hanya mempercayai kumpulan identitas Anda untuk menghasilkan sesi sementara.
**Atribut untuk kontrol akses**
Kumpulan identitas Anda membaca atribut dari klaim pengguna Anda, dan memetakannya ke tag utama dalam sesi sementara pengguna Anda. Anda kemudian dapat mengonfigurasi kebijakan berbasis sumber daya IAM Anda untuk mengizinkan atau menolak akses ke sumber daya berdasarkan prinsip IAM yang membawa tag sesi dari kumpulan identitas Anda. Misalnya, jika pengguna Anda menunjukkan bahwa mereka berada di departemen pemasaran, beri AWS STS tag sesi `Department: marketing` mereka. Bucket Amazon S3 Anda mengizinkan operasi baca berdasarkan PrincipalTag kondisi [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) yang memerlukan nilai `marketing` tag. `Department`
|
|
| Fitur | Deskripsi |
| --- |--- |
| Pesta mengandalkan kumpulan pengguna Amazon Cognito | Tukarkan token ID dari kumpulan pengguna Anda untuk kredensi identitas web dari AWS STS |
| Penyedia layanan SALL 2.0 | Tukarkan pernyataan SAMP untuk kredensil identitas web dari AWS STS |
| Partai mengandalkan OIDC | Tukarkan token OIDC untuk kredensi identitas web dari AWS STS |
| Pihak yang mengandalkan penyedia sosial | Tukar OAuth token dari Amazon, Facebook, Google, Apple, dan Twitter untuk kredensi identitas web dari AWS STS |
| Pesta mengandalkan kustom | Dengan AWS kredensi, tukar klaim dalam format apa pun untuk kredensil identitas web dari AWS STS |
| Akses tidak diautentikasi | Mengeluarkan kredensil identitas web akses terbatas dari tanpa otentikasi AWS STS |
| Kontrol akses berbasis peran | Pilih peran IAM untuk pengguna yang diautentikasi berdasarkan klaimnya, dan konfigurasikan peran Anda agar hanya diasumsikan dalam konteks kumpulan identitas Anda |
| Kontrol Akses Berbasis Atribut | Ubah klaim menjadi tag utama untuk sesi AWS STS sementara Anda, dan gunakan kebijakan IAM untuk memfilter akses sumber daya berdasarkan tag utama |
Untuk informasi selengkapnya tentang kumpulan identitas, lihat [Memulai dengan kumpulan identitas Amazon Cognito](getting-started-with-identity-pools.md) referensi [API kumpulan identitas Amazon Cognito](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/).
## Perbandingan kumpulan pengguna Amazon Cognito dan kumpulan identitas
|
|
| Fitur | Deskripsi | Kolam pengguna | Kolam identitas |
| --- |--- |--- |--- |
| Penyedia identitas OIDC | Menerbitkan token ID OIDC untuk mengautentikasi pengguna aplikasi | ✓ | |
| Direktori pengguna | Simpan profil pengguna untuk otentikasi | ✓ | |
| Otorisasi akses API | Keluarkan token akses untuk mengotorisasi akses pengguna APIs (termasuk operasi API layanan mandiri profil pengguna), database, dan sumber daya lain yang menerima cakupan OAuth | ✓ | |
| Otorisasi identitas web IAM | Hasilkan token yang dapat Anda tukarkan dengan AWS STS AWS kredensi sementara | | ✓ |
| Penyedia layanan SAMP 2.0 & penyedia identitas OIDC | Mengeluarkan token OIDC yang disesuaikan berdasarkan klaim dari penyedia identitas SAMP 2.0 | ✓ | |
| Pihak yang mengandalkan OIDC & penyedia identitas OIDC | Mengeluarkan token OIDC yang disesuaikan berdasarkan klaim dari penyedia identitas OIDC | ✓ | |
| OAuth 2.0 pihak yang mengandalkan & penyedia identitas OIDC | Keluarkan token OIDC yang disesuaikan berdasarkan cakupan dari OAuth 2.0 penyedia sosial seperti Apple dan Google | ✓ | |
| Penyedia layanan SALL 2.0 & pialang kredensial | Menerbitkan AWS kredensi sementara berdasarkan klaim dari penyedia identitas SAMP 2.0 | | ✓ |
| Pialang partai & kredensial yang mengandalkan OIDC | Menerbitkan AWS kredensi sementara berdasarkan klaim dari penyedia identitas OIDC | | ✓ |
| Penyedia sosial mengandalkan pialang pihak & kredensi | Menerbitkan AWS kredensi sementara berdasarkan token web JSON dari aplikasi pengembang dengan penyedia sosial seperti Apple dan Google | | ✓ |
| Broker pesta & kredensial yang mengandalkan kumpulan pengguna Amazon Cognito | Mengeluarkan AWS kredensi sementara berdasarkan token web JSON dari kumpulan pengguna Amazon Cognito | | ✓ |
| Pialang partai & kredensial yang mengandalkan kustom | Menerbitkan AWS kredensi sementara untuk identitas arbitrer, yang disahkan oleh kredensi IAM pengembang | | ✓ |
| Layanan frontend otentikasi | Mendaftar, mengelola, dan mengautentikasi pengguna dengan login terkelola | ✓ | |
| Dukungan API untuk UI otentikasi Anda sendiri | Membuat, mengelola, dan mengautentikasi pengguna melalui permintaan API yang didukung ¹ AWS SDKs | ✓ | |
| MFA | Gunakan pesan SMS TOTPs, atau perangkat pengguna Anda sebagai faktor otentikasi tambahan¹ | ✓ | |
| Pemantauan & respons keamanan | Lindungi dari aktivitas berbahaya dan kata sandi yang tidak aman¹ | ✓ | |
| Sesuaikan alur otentikasi | Buat mekanisme otentikasi Anda sendiri, atau tambahkan langkah-langkah khusus ke aliran yang ada¹ | ✓ | |
| Grup pengguna | Buat pengelompokan logis pengguna, dan hierarki klaim peran IAM saat Anda meneruskan token ke kumpulan identitas | ✓ | |
| Kustomisasi token | Sesuaikan ID dan token akses Anda dengan klaim dan cakupan baru, dimodifikasi, dan ditekan | ✓ | |
| AWS WAF web ACLs | Pantau dan kontrol permintaan ke front end otentikasi Anda dengan AWS WAF | ✓ | |
| Sesuaikan atribut pengguna | Tetapkan nilai ke atribut pengguna dan tambahkan atribut kustom Anda sendiri | ✓ | |
| Akses tidak diautentikasi | Mengeluarkan kredensil identitas web akses terbatas dari tanpa otentikasi AWS STS | | ✓ |
| Kontrol akses berbasis peran | Pilih peran IAM untuk pengguna yang diautentikasi berdasarkan klaim mereka, dan konfigurasikan kepercayaan peran Anda untuk membatasi akses ke pengguna identitas web | | ✓ |
| Kontrol Akses Berbasis Atribut | Ubah klaim pengguna menjadi tag utama untuk sesi AWS STS sementara Anda, dan gunakan kebijakan IAM untuk memfilter akses sumber daya berdasarkan tag utama | | ✓ |
¹ Fitur tidak tersedia untuk pengguna federasi.
## Memulai dengan Amazon Cognito
Misalnya aplikasi kumpulan pengguna, lihat[Memulai dengan kumpulan pengguna](getting-started-user-pools.md).
Untuk pengenalan kumpulan identitas, lihat[Memulai dengan kumpulan identitas Amazon Cognito](getting-started-with-identity-pools.md).
Untuk tautan ke pengalaman penyiapan terpandu dengan kumpulan pengguna dan kumpulan identitas, lihat[Opsi penyiapan terpandu untuk Amazon Cognito](cognito-guided-setup.md).
Untuk memulai AWS SDK, lihat [Alat AWS Pengembang](https://aws.amazon.com/products/developer-tools). Untuk sumber daya pengembang khusus untuk Amazon Cognito, lihat sumber daya pengembang [Amazon Cognito](https://aws.amazon.com/cognito/dev-resources/).
Untuk menggunakan Amazon Cognito, Anda memerlukan file. Akun AWS Untuk informasi selengkapnya, lihat [Memulai dengan AWS](cognito-getting-started-account-iam.md).
## Ketersediaan wilayah
Amazon Cognito tersedia di beberapa AWS Wilayah di seluruh dunia. Di setiap Wilayah, Amazon Cognito didistribusikan di beberapa Availability Zone. Availability Zone ini secara fisik terisolasi satu sama lain, tetapi disatukan oleh koneksi jaringan privat, latensi rendah, throughput tinggi, dan sangat redundan. Availability Zone ini memungkinkan AWS untuk menyediakan layanan, termasuk Amazon Cognito, dengan tingkat ketersediaan dan redundansi yang sangat tinggi, sekaligus meminimalkan latensi.
Untuk melihat apakah Amazon Cognito saat ini tersedia di salah satu AWS Region, lihat [AWS Layanan menurut Wilayah](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Untuk mempelajari tentang titik akhir layanan API regional, lihat [AWS wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html##cognito_identity_region) di. *Referensi Umum Amazon Web*
Untuk mempelajari lebih lanjut tentang jumlah Availability Zone yang tersedia di setiap Wilayah, lihat [infrastruktur AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
## Harga untuk Amazon Cognito
Untuk informasi tentang harga Amazon Cognito, lihat harga [Amazon Cognito](https://aws.amazon.com/cognito/pricing/).
# Istilah dan konsep Amazon Cognito yang umum
Istilah dan konsep
Amazon Cognito menyediakan kredensil untuk aplikasi web dan seluler. Ini diambil dari dan dibangun berdasarkan istilah-istilah yang umum dalam *identitas dan manajemen akses*. Banyak panduan untuk identitas universal dan persyaratan akses tersedia. Beberapa contohnya adalah:
+ [Terminologi](https://bok.idpro.org/article/id/41/) dalam IDPro Tubuh Pengetahuan
+ [AWS Layanan Identitas](https://aws.amazon.com/identity/)
+ [Glosarium](https://csrc.nist.gov/glossary) dari NIST CSRC
Daftar berikut menjelaskan istilah yang unik untuk Amazon Cognito atau memiliki konteks tertentu di Amazon Cognito.
**Topics**
+ [
## Umum
](#cognito-terms-general)
+ [
## Kolam pengguna
](#cognito-terms-user-pools)
+ [
## Kolam identitas
](#cognito-terms-identity-pools)
## Umum
Istilah dalam daftar ini tidak spesifik untuk Amazon Cognito dan diakui secara luas di kalangan praktisi manajemen identitas dan akses. Berikut ini bukan daftar istilah yang lengkap, tetapi panduan untuk konteks Amazon Cognito spesifik mereka dalam panduan ini.
**Token akses**
Token web JSON (JWT) yang berisi informasi tentang [otorisasi](#terms-authorization) entitas untuk mengakses sistem informasi.
**Aplikasi, aplikasi**
Biasanya, aplikasi seluler. Dalam panduan ini, *aplikasi* sering kali merupakan singkatan untuk aplikasi web atau aplikasi seluler yang terhubung ke Amazon Cognito.
**Kontrol akses berbasis atribut (ABAC)**
Model di mana aplikasi menentukan akses ke sumber daya berdasarkan properti pengguna, seperti jabatan atau departemen mereka. Alat Amazon Cognito untuk menerapkan ABAC menyertakan token ID di kumpulan pengguna dan [tag utama](#term-afac) di kumpulan identitas.
**Autentikasi**
Proses membangun identitas otentik untuk tujuan akses ke sistem informasi. Amazon Cognito menerima bukti otentikasi dari penyedia identitas pihak ketiga, dan juga berfungsi sebagai penyedia otentikasi untuk aplikasi perangkat lunak.
**Otorisasi**
Proses pemberian izin ke sumber daya. [Token akses](#terms-accesstoken) kumpulan pengguna berisi informasi yang dapat digunakan aplikasi untuk mengizinkan pengguna dan sistem mengakses sumber daya.
**Server otorisasi**
[Sistem OAuth atau OpenID Connect (OIDC) yang menghasilkan token web JSON.](#terms-jwt) Server otorisasi [terkelola kumpulan pengguna Amazon Cognito adalah komponen server otorisasi](#terms-managedauthorizationserver) dari dua metode otentikasi dan otorisasi di kumpulan pengguna. Kumpulan pengguna juga mendukung alur respons tantangan API dalam otentikasi [SDK](#terms-upapi).
**Aplikasi rahasia, aplikasi sisi server**
Aplikasi yang terhubung pengguna dari jarak jauh, dengan kode di server aplikasi dan akses ke rahasia. Ini biasanya aplikasi web.
**Penyedia identitas (iDP)**
Layanan yang menyimpan dan memverifikasi identitas pengguna. Amazon Cognito dapat meminta otentikasi dari [penyedia eksternal](#terms-externalprovider) dan menjadi IDP untuk aplikasi.
**Token web JSON (JWT)**
Dokumen berformat JSON yang berisi klaim tentang pengguna yang diautentikasi. Token ID mengautentikasi pengguna, token akses mengotorisasi pengguna, dan menyegarkan kredensi pembaruan token. Amazon Cognito menerima token dari [penyedia eksternal](#terms-externalprovider) dan mengeluarkan token ke aplikasi atau. AWS STS
**Machine-to-machine (M2M) otorisasi**
Proses otorisasi permintaan ke titik akhir API untuk entitas non-user-interactive mesin, seperti tingkat aplikasi server web. [Kumpulan pengguna melayani otorisasi M2M dalam hibah kredensial-klien dengan cakupan 2.0 dalam token akses. OAuth ](#terms-accesstoken)
**Autentikasi multi-faktor (MFA)**
Persyaratan bahwa pengguna memberikan otentikasi tambahan setelah memberikan nama pengguna dan kata sandi mereka. [Kumpulan pengguna Amazon Cognito memiliki fitur MFA untuk pengguna lokal.](#terms-localuser)
**OAuth 2.0 (sosial) penyedia**
IdP ke kumpulan pengguna atau kumpulan identitas yang menyediakan akses [JWT](#terms-jwt) dan token penyegaran. Kumpulan pengguna Amazon Cognito mengotomatiskan interaksi dengan penyedia sosial setelah pengguna mengautentikasi.
**Penyedia OpenID Connect (OIDC)**
IdP ke kumpulan pengguna atau kumpulan identitas yang memperluas [OAuth](#terms-oauth)spesifikasi untuk menyediakan token ID. Kumpulan pengguna Amazon Cognito mengotomatiskan interaksi dengan penyedia OIDC setelah pengguna mengautentikasi.
**Kunci sandi, WebAuthn**
Suatu bentuk otentikasi di mana kunci kriptografi, atau kunci sandi, pada perangkat pengguna memberikan bukti otentikasi mereka. Pengguna memverifikasi bahwa mereka hadir dengan mekanisme kode biometrik atau PIN dalam autentikator perangkat keras atau perangkat lunak. Kunci sandi tahan phishing dan terikat ke situs web/aplikasi tertentu, menawarkan pengalaman tanpa kata sandi yang aman. Kumpulan pengguna Amazon Cognito mendukung proses masuk dengan kunci sandi.
**Tanpa Kata Sandi**
Suatu bentuk otentikasi di mana pengguna tidak harus memasukkan kata sandi. Metode masuk tanpa kata sandi termasuk kata sandi satu kali (OTPs) yang dikirim ke alamat email dan nomor telepon, dan kunci sandi. Kumpulan pengguna Amazon Cognito mendukung login dengan OTPs dan kunci sandi.
**Aplikasi publik**
Aplikasi yang mandiri pada perangkat, dengan kode yang disimpan secara lokal dan tidak ada akses ke rahasia. Ini biasanya aplikasi seluler.
**Server sumber daya**
API dengan kontrol akses. Kumpulan pengguna Amazon Cognito juga menggunakan *server sumber daya* untuk mendeskripsikan komponen yang mendefinisikan konfigurasi untuk berinteraksi dengan API.
**Kontrol akses berbasis peran (RBAC)**
Model yang memberikan akses berdasarkan penunjukan fungsional pengguna. Kumpulan identitas Amazon Cognito mengimplementasikan RBAC dengan diferensiasi antara peran IAM.
**Penyedia layanan (SP), pihak yang mengandalkan (RP)**
Aplikasi yang mengandalkan IDP untuk menegaskan bahwa pengguna dapat dipercaya. Amazon Cognito bertindak sebagai SP untuk eksternal IdPs, dan sebagai IDP untuk berbasis aplikasi. SPs
**Penyedia SAMP**
IdP ke kumpulan pengguna atau kumpulan identitas yang menghasilkan dokumen pernyataan yang ditandatangani secara digital yang diteruskan pengguna Anda ke Amazon Cognito.
**Universalally Unique Identifier (UUID)**
Label 128-bit yang diterapkan pada suatu objek. Amazon Cognito UUIDs unik per kumpulan pengguna atau kumpulan identitas, tetapi tidak sesuai dengan format UUID tertentu.
**Direktori pengguna**
Kumpulan pengguna dan atribut mereka yang melayani informasi itu ke sistem lain. Kumpulan pengguna Amazon Cognito adalah direktori pengguna, dan juga alat untuk konsolidasi pengguna dari direktori pengguna eksternal.
## Kolam pengguna
Ketika Anda melihat istilah dalam daftar berikut dalam panduan ini, mereka merujuk ke fitur atau konfigurasi tertentu dari kumpulan pengguna.
**Otentikasi adaptif**
Fitur [keamanan canggih](#term-advancedsecurity) yang mendeteksi potensi aktivitas berbahaya dan menerapkan keamanan tambahan ke [profil pengguna](#terms-userprofile).
**Klien aplikasi**
Komponen yang mendefinisikan pengaturan untuk kumpulan pengguna sebagai iDP untuk satu aplikasi.
**URL panggilan balik, mengarahkan URI, mengembalikan URL**
Pengaturan di [klien aplikasi](#term-appclient) dan parameter dalam permintaan ke [server otorisasi](#terms-managedauthorizationserver) kumpulan pengguna. [URL callback adalah tujuan awal bagi pengguna yang diautentikasi di aplikasi Anda.](#term-app)
**Otentikasi berbasis pilihan**
Bentuk otentikasi API dengan kumpulan pengguna di mana setiap pengguna memiliki serangkaian pilihan untuk masuk yang tersedia bagi mereka. Pilihan mereka mungkin termasuk nama pengguna dan kata sandi dengan atau tanpa MFA, masuk kunci sandi, atau masuk tanpa kata sandi dengan email atau pesan SMS kata sandi satu kali. Aplikasi Anda dapat membentuk proses pilihan bagi pengguna dengan meminta daftar opsi otentikasi atau dengan mendeklarasikan opsi yang disukai.
Bandingkan dengan [otentikasi berbasis klien](#terms-declarativeauthentication).
**Otentikasi berbasis klien**
Suatu bentuk otentikasi dengan API kumpulan pengguna dan aplikasi kembali berakhir dengan AWS SDKs. Dalam autentikasi deklaratif, aplikasi Anda menentukan secara independen jenis login yang harus dilakukan pengguna dan permintaan yang mengetik di depan.
Bandingkan dengan [otentikasi berbasis pilihan](#terms-choicebasedauthentication).
**Kredensi yang dikompromikan**
Fitur [keamanan canggih](#term-advancedsecurity) yang mendeteksi kata sandi pengguna yang mungkin diketahui penyerang, dan menerapkan keamanan tambahan ke profil [pengguna](#terms-userprofile).
**Konfirmasi**
Proses yang menentukan bahwa prasyarat telah dipenuhi untuk mengizinkan pengguna baru masuk. Konfirmasi biasanya dilakukan melalui alamat email atau [verifikasi](#terms-verification) nomor telepon.
**Otentikasi kustom**
Perpanjangan proses otentikasi dengan pemicu [Lambda](#terms-triggers) yang menentukan tantangan dan respons pengguna tambahan.
**Otentikasi perangkat**
Proses otentikasi yang menggantikan [MFA](#terms-mfa) dengan login yang menggunakan ID perangkat tepercaya.
**Domain, domain kumpulan pengguna**
Domain web yang menghosting [halaman login terkelola](#terms-managedlogin) Anda AWS. Anda dapat mengatur DNS di domain yang Anda miliki atau menggunakan awalan subdomain pengidentifikasi di domain yang dimiliki. AWS
**Rencana penting**
[Paket fitur](#terms-featureplan) dengan perkembangan terbaru di kumpulan pengguna. [Paket Essentials tidak menyertakan fitur keamanan pembelajaran otomatis dalam paket Plus.](#terms-plusplan)
**Penyedia eksternal, penyedia pihak ketiga**
IdP yang memiliki hubungan kepercayaan dengan kumpulan pengguna. Kumpulan pengguna berfungsi sebagai entitas perantara antara penyedia eksternal dan aplikasi Anda, mengelola proses otentikasi dengan SAMP 2.0, OIDC, dan penyedia sosial. Kumpulan pengguna mengkonsolidasikan hasil otentikasi penyedia eksternal ke dalam satu IDP sehingga aplikasi Anda dapat memproses banyak pengguna dengan satu pustaka pihak bergantung OIDC.
**Paket fitur**
Kelompok fitur yang dapat Anda pilih untuk kumpulan pengguna. Paket fitur memiliki biaya yang berbeda dalam AWS tagihan Anda. Kumpulan pengguna baru secara default ke paket [Essentials.](#terms-essentialsplan)
**Rencana saat ini**
+ [Paket Lite](#terms-liteplan)
+ [Rencana penting](#terms-essentialsplan)
+ [Paket plus](#terms-plusplan)
**Pengguna federasi, pengguna eksternal**
Pengguna di kumpulan pengguna yang diautentikasi oleh [penyedia eksternal](#terms-externalprovider).
**UI yang di-host (klasik), halaman UI yang dihosting**
Versi awal dari front end otentikasi, pihak yang mengandalkan, dan layanan penyedia identitas pada domain kumpulan pengguna Anda. UI yang dihosting memiliki serangkaian fitur dasar dan tampilan dan nuansa yang disederhanakan. Anda dapat menerapkan pencitraan merek UI yang Dihosting dengan mengunggah file gambar logo dan file dengan serangkaian gaya CSS yang telah ditentukan sebelumnya. Bandingkan dengan [login terkelola](#terms-managedlogin).
**Pemicu Lambda**
Fungsi di mana AWS Lambda kumpulan pengguna dapat secara otomatis memanggil pada titik-titik kunci dalam proses otentikasi pengguna. Anda dapat menggunakan pemicu Lambda untuk menyesuaikan hasil otentikasi.
**Pengguna lokal**
[Profil pengguna](#terms-userprofile) di [direktori pengguna kumpulan pengguna](#terms-userdirectory) yang tidak dibuat dengan autentikasi dengan [penyedia eksternal](#terms-externalprovider).
**Pengguna yang ditautkan**
Pengguna dari [penyedia eksternal](#terms-externalprovider) yang identitasnya digabungkan dengan [pengguna lokal](#terms-localuser).
**Paket Lite**
[Paket fitur](#terms-featureplan) dengan fitur yang awalnya diluncurkan dengan kumpulan pengguna. [Paket Lite tidak menyertakan fitur baru dalam [paket Essentials](#terms-essentialsplan) atau fitur keamanan pembelajaran otomatis dalam paket Plus.](#terms-plusplan)
**Server otorisasi terkelola, server otorisasi UI yang dihosting, server otorisasi**
Komponen [login terkelola](#terms-managedlogin) yang menghosting layanan untuk interaksi IdPs dan aplikasi di [domain kumpulan pengguna](#terms-domain) Anda. [UI yang dihosting](#terms-hostedui) berbeda dari login terkelola dalam fitur interaktif pengguna yang ditawarkannya, tetapi memiliki kemampuan otorisasi-server yang sama.
**Login terkelola, halaman login terkelola**
Satu set halaman web pada [domain kumpulan pengguna](#terms-domain) Anda yang meng-host layanan untuk otentikasi pengguna. Layanan ini mencakup fungsi untuk beroperasi sebagai [IDP](#terms-idp), pihak yang [mengandalkan pihak](#terms-relyingparty) ketiga IdPs, dan server UI otentikasi interaktif pengguna. Saat Anda menyiapkan domain untuk kumpulan pengguna, Amazon Cognito menghadirkan semua halaman login terkelola secara online.
Aplikasi Anda mengimpor pustaka OIDC yang memanggil browser pengguna dan mengarahkannya ke UI login terkelola untuk pendaftaran, masuk, manajemen kata sandi, dan operasi otentikasi lainnya. Setelah otentikasi, pustaka OIDC dapat memproses hasil dari permintaan otentikasi.
**Otentikasi login terkelola**
Masuk dengan layanan di [domain kumpulan pengguna](#terms-domain) Anda, dilakukan dengan halaman browser interaktif pengguna atau permintaan API HTTPS. Aplikasi menangani otentikasi login terkelola dengan pustaka OpenID Connect (OIDC). [Proses ini mencakup login dengan [penyedia eksternal](#terms-externalprovider), login pengguna lokal dengan halaman login terkelola interaktif, dan otorisasi M2M.](#terms-m2m) Otentikasi dengan [UI host](#terms-hostedui) klasik juga termasuk dalam istilah ini.
Bandingkan dengan [otentikasi AWS SDK](#terms-upapi).
**Paket plus**
[Paket fitur](#terms-featureplan) dengan perkembangan terbaru dan fitur keamanan canggih di kumpulan pengguna.
**Otentikasi SDK, otentikasi SDK AWS **
Satu set operasi API autentikasi dan otorisasi yang dapat Anda tambahkan ke back end aplikasi Anda dengan SDK. AWS Model otentikasi ini memerlukan mekanisme login custom-built Anda sendiri. API dapat masuk ke [pengguna lokal dan pengguna](#terms-localuser) yang [ditautkan](#terms-linkeduser).
Bandingkan dengan [otentikasi login terkelola](#terms-managedloginauthentication).
**Perlindungan ancaman, fitur keamanan canggih**
Dalam kumpulan pengguna, perlindungan ancaman mengacu pada teknologi yang dirancang untuk mengurangi ancaman terhadap mekanisme otentikasi dan otorisasi Anda. Otentikasi adaptif, deteksi kredensial-kompromi, dan blokir alamat IP berada di bawah kategori perlindungan ancaman.
**Kustomisasi token**
Hasil dari [pemicu Lambda](#terms-triggers) generasi pra token yang memodifikasi ID pengguna atau token akses saat runtime.
**Kumpulan pengguna, penyedia identitas Amazon Cognito,`cognito-idp`, kumpulan pengguna Amazon Cognito**
AWS Sumber daya dengan layanan otentikasi dan otorisasi untuk aplikasi yang bekerja dengan OIDC. IdPs
**Verifikasi**
Proses konfirmasi bahwa pengguna memiliki alamat email atau nomor telepon. Kumpulan pengguna mengirimkan kode ke pengguna yang telah memasukkan alamat email atau nomor telepon baru. Saat mereka mengirimkan kode ke Amazon Cognito, mereka memverifikasi kepemilikan mereka atas tujuan pesan dan dapat menerima pesan tambahan dari kumpulan pengguna. Juga, lihat [konfirmasi](#terms-confirmation).
**Profil pengguna, akun pengguna**
Entri untuk pengguna di [direktori pengguna](#terms-userdirectory). Semua pengguna, termasuk dari pihak ketiga IdPs, memiliki profil di kumpulan pengguna mereka.
## Kolam identitas
Saat Anda melihat istilah dalam daftar berikut dalam panduan ini, istilah tersebut merujuk ke fitur atau konfigurasi kumpulan identitas tertentu.
**Atribut untuk kontrol akses**
Implementasi [kontrol akses berbasis atribut di kumpulan](#terms-abac) identitas. Identity pool menerapkan atribut pengguna sebagai tag untuk kredensi pengguna.
**Otentikasi dasar (klasik)**
Proses otentikasi di mana Anda dapat menyesuaikan permintaan [kredensional pengguna](#terms-usercredentials).
**Identitas diautentikasi developer**
[Proses otentikasi yang mengotorisasi kredensial [pengguna kumpulan identitas dengan kredensi](#terms-usercredentials) pengembang.](#terms-developercredentials)
**Kredensi pengembang**
Kunci API IAM dari administrator kumpulan identitas.
**Otentikasi yang disempurnakan**
Alur otentikasi yang memilih peran IAM dan menerapkan tag utama sesuai dengan logika yang Anda tentukan dalam kumpulan identitas Anda.
**Identitas**
[UUID](#terms-uuid) yang menautkan pengguna aplikasi dan [kredensialnya](#terms-usercredentials) ke profil mereka di [direktori pengguna](#terms-userdirectory) eksternal yang memiliki hubungan kepercayaan dengan kumpulan identitas.
**Kolam identitas, identitas federasi Amazon Cognito, identitas Amazon Cognito, `cognito-identity`**
AWS Sumber daya dengan layanan otentikasi dan otorisasi untuk aplikasi yang menggunakan kredensil [sementara AWS](#terms-usercredentials).
**Identitas yang tidak diautentikasi**
Pengguna yang belum masuk dengan kumpulan identitas IDP. Anda dapat mengizinkan pengguna untuk menghasilkan kredensi pengguna terbatas untuk satu peran IAM sebelum mereka melakukan autentikasi.
**Kredensi pengguna**
Kunci AWS API sementara yang diterima pengguna setelah autentikasi kumpulan identitas.
# Memulai dengan AWS
Sebelum Anda mulai bekerja dengan Amazon Cognito, siapkan diri Anda dengan beberapa sumber daya yang diperlukan AWS . Jika Anda sudah dapat masuk ke Akun AWS, Anda dapat melewati bagian ini. Lanjutkan membaca jika Anda mencari informasi tentang mendaftar dan masuk dengan AWS kredensil. [Setelah Anda memiliki kredensi dengan izin AWS Identity and Access Management (IAM) yang memadai, Anda dapat memulai dengan [kumpulan pengguna dan kumpulan](getting-started-user-pools.md) identitas.](getting-started-with-identity-pools.md)
## Mendaftar untuk Akun AWS
Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya.
**Untuk mendaftar untuk Akun AWS**
1. Buka [https://portal.aws.amazon.com/billing/pendaftaran.](https://portal.aws.amazon.com/billing/signup)
1. Ikuti petunjuk online.
Bagian dari prosedur pendaftaran melibatkan menerima panggilan telepon atau pesan teks dan memasukkan kode verifikasi pada keypad telepon.
Saat Anda mendaftar untuk sebuah Akun AWS, sebuah *Pengguna root akun AWS*dibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya di akun. Sebagai praktik keamanan terbaik, tetapkan akses administratif ke pengguna, dan gunakan hanya pengguna root untuk melakukan [tugas yang memerlukan akses pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS mengirimi Anda email konfirmasi setelah proses pendaftaran selesai. Kapan saja, Anda dapat melihat aktivitas akun Anda saat ini dan mengelola akun Anda dengan masuk [https://aws.amazon.com.rproxy.govskope.cake/](https://aws.amazon.com/) dan memilih **Akun Saya**.
## Buat pengguna dengan akses administratif
Setelah Anda mendaftar Akun AWS, amankan Pengguna root akun AWS, aktifkan AWS IAM Identity Center, dan buat pengguna administratif sehingga Anda tidak menggunakan pengguna root untuk tugas sehari-hari.
**Amankan Anda Pengguna root akun AWS**
1. Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/)sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.
Untuk bantuan masuk dengan menggunakan pengguna root, lihat [Masuk sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) di *AWS Sign-In Panduan Pengguna*.
1. Mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna root Anda.
Untuk petunjuk, lihat [Mengaktifkan perangkat MFA virtual untuk pengguna Akun AWS root (konsol) Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) di Panduan Pengguna *IAM*.
**Buat pengguna dengan akses administratif**
1. Aktifkan Pusat Identitas IAM.
Untuk mendapatkan petunjuk, silakan lihat [Mengaktifkan AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) di *Panduan Pengguna AWS IAM Identity Center *.
1. Di Pusat Identitas IAM, berikan akses administratif ke pengguna.
Untuk tutorial tentang menggunakan Direktori Pusat Identitas IAM sebagai sumber identitas Anda, lihat [Mengkonfigurasi akses pengguna dengan default Direktori Pusat Identitas IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) di *Panduan AWS IAM Identity Center Pengguna*.
**Masuk sebagai pengguna dengan akses administratif**
+ Untuk masuk dengan pengguna Pusat Identitas IAM, gunakan URL masuk yang dikirim ke alamat email saat Anda membuat pengguna Pusat Identitas IAM.
Untuk bantuan masuk menggunakan pengguna Pusat Identitas IAM, lihat [Masuk ke portal AWS akses](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
**Tetapkan akses ke pengguna tambahan**
1. Di Pusat Identitas IAM, buat set izin yang mengikuti praktik terbaik menerapkan izin hak istimewa paling sedikit.
Untuk petunjuknya, lihat [Membuat set izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) di *Panduan AWS IAM Identity Center Pengguna*.
1. Tetapkan pengguna ke grup, lalu tetapkan akses masuk tunggal ke grup.
Untuk petunjuk, lihat [Menambahkan grup](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) di *Panduan AWS IAM Identity Center Pengguna*.