기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 일반적인 Amazon Cognito 용어 및 개념
Amazon Cognito는 웹 및 모바일 앱에 대한 자격 증명을 제공합니다. *ID 및 액세스 관리*에서 일반적인 용어를 사용하고 이를 기반으로 구축됩니다. 범용 ID 및 액세스 조건에 대한 많은 가이드를 사용할 수 있습니다. 다음은 몇 가지 예시입니다.
+ IDPro 지식 본문의 [용어](https://bok.idpro.org/article/id/41/)
+ [AWS ID 서비스](https://aws.amazon.com/identity/)
+ NIST CSRC의 [용어집](https://csrc.nist.gov/glossary)
다음 목록은 Amazon Cognito에 고유하거나 Amazon Cognito에 특정 컨텍스트가 있는 용어를 설명합니다.
**Topics**
+ [일반](#cognito-terms-general)
+ [사용자 풀](#cognito-terms-user-pools)
+ [ID 풀](#cognito-terms-identity-pools)
## 일반
이 목록의 용어는 Amazon Cognito에만 국한되지 않으며 ID 및 액세스 관리 실무자 사이에서 널리 인식됩니다. 다음은 용어의 전체 목록이 아니며 이 안내서의 특정 Amazon Cognito 컨텍스트에 대한 안내서입니다.
**액세스 토큰**
정보 시스템에 액세스하기 위한 엔터티의 [권한 부여](#terms-authorization)에 대한 정보가 포함된 JSON 웹 토큰(JWT)입니다.
**앱, 애플리케이션**
일반적으로 모바일 애플리케이션입니다. 이 가이드에서 *앱*은 Amazon Cognito에 연결하는 웹 애플리케이션 또는 모바일 앱의 약어인 경우가 많습니다.
**속성 기반 액세스 제어(ABAC)**
앱이 사용자의 직함 또는 부서 등 사용자 속성을 기반으로 리소스에 대한 액세스를 결정하는 모델입니다. ABAC를 적용하는 Amazon Cognito 도구에는 사용자 풀의 ID 토큰과 ID 풀의 [보안 주체 태그](#term-afac)가 포함됩니다.
**인증**
정보 시스템에 액세스하기 위해 실제 ID를 설정하는 프로세스입니다. Amazon Cognito는 타사 ID 공급자의 인증 증명을 수락하며 소프트웨어 애플리케이션에 대한 인증 공급자 역할을 합니다.
**승인**
리소스에 권한을 부여하는 프로세스입니다. 사용자 풀 [액세스 토큰](#terms-accesstoken)에는 애플리케이션이 사용자 및 시스템이 리소스에 액세스하도록 허용하는 데 사용할 수 있는 정보가 포함되어 있습니다.
**권한 부여 서버**
[JSON 웹 토큰](#terms-jwt)을 생성하는 OAuth 또는 OpenID Connect(OIDC) 시스템입니다. Amazon Cognito 사용자 풀 [관리형 인증 서버](#terms-managedauthorizationserver)는 사용자 풀의 두 인증 및 권한 부여 방법의 권한 부여 서버 구성 요소입니다. 사용자 풀은 [SDK 인증](#terms-upapi)에서 API 문제-응답 흐름도 지원합니다.
**기밀 앱, 서버 측 앱**
사용자가 애플리케이션 서버의 코드와 보안 암호에 대한 액세스를 사용하여 원격으로 연결하는 애플리케이션입니다. 이는 일반적으로 웹 애플리케이션입니다.
**ID 제공업체(IdP)**
사용자 ID를 저장하고 확인하는 서비스입니다. Amazon Cognito는 [외부 제공업체](#terms-externalprovider)로부터 인증을 요청할 수 있으며 앱에 대한 IdP가 될 수 있습니다.
**JSON 웹 토큰(JWT)**
인증된 사용자에 대한 클레임이 포함된 JSON 형식 문서입니다. ID 토큰은 사용자를 인증하고, 액세스 토큰은 사용자에게 권한을 부여하며, 새로 고침 토큰은 자격 증명을 업데이트합니다. Amazon Cognito는 [외부 제공업체](#terms-externalprovider)로부터 토큰을 수신하고 앱 또는 AWS STS에 토큰을 발급합니다.
**기계 간(M2M) 인증**
웹 서버 애플리케이션 계층과 같은 사용자 상호 작용이 불가능한 머신 엔터티에 대한 API 엔드포인트에 대한 요청을 승인하는 프로세스입니다. 사용자 풀은 [액세스 토큰](#terms-accesstoken)의 OAuth 2.0 범위를 사용하여 클라이언트 자격 증명 권한 부여에서 M2M 권한 부여를 제공합니다.
**멀티 팩터 인증(MFA)**
사용자가 사용자 이름과 암호를 제공한 후 추가 인증을 제공해야 하는 요구 사항입니다. Amazon Cognito 사용자 풀에는 [로컬 사용자](#terms-localuser)를 위한 MFA 기능이 있습니다.
**OAuth 2.0(소셜) 제공업체**
[JWT](#terms-jwt) 액세스 및 새로 고침 토큰을 제공하는 사용자 풀 또는 ID 풀에 대한 IdP입니다. Amazon Cognito 사용자 풀은 사용자가 인증한 후 소셜 제공업체와의 상호 작용을 자동화합니다.
**OpenID Connect(OIDC) 제공업체**
사용자 풀 또는 ID 풀에 대한 IdP로 [OAuth](#terms-oauth) 사양을 확장하여 ID 토큰을 제공합니다. Amazon Cognito 사용자 풀은 사용자가 인증한 후 OIDC 제공업체와의 상호 작용을 자동화합니다.
**패스키, WebAuthn**
사용자 디바이스의 암호화 키 또는 패스키가 인증 증명을 제공하는 인증의 한 형태입니다. 사용자는 하드웨어 또는 소프트웨어 인증자에 생체 인식 또는 PIN 코드 메커니즘이 있는지 확인합니다. 패스키는 피싱에 강하며 특정 웹 사이트/앱에 바인딩되어 암호 없는 안전한 환경을 제공합니다. Amazon Cognito 사용자 풀은 패스키로 로그인을 지원합니다.
**암호 없음**
사용자가 암호를 입력할 필요가 없는 인증의 한 형태입니다. 암호 없는 로그인 방법에는 이메일 주소와 전화번호 및 패스키로 전송된 일회용 암호(OTP)가 포함됩니다. Amazon Cognito 사용자 풀은 OTP 및 패스키를 사용한 로그인을 지원합니다.
**퍼블릭 앱**
코드가 로컬에 저장되고 보안 암호에 대한 액세스 권한이 없는 디바이스에 자체 포함된 애플리케이션입니다. 일반적으로 모바일 앱입니다.
**리소스 서버**
액세스 제어 기능이 있는 API입니다. Amazon Cognito 사용자 풀은 *리소스 서버*를 사용하여 API와 상호 작용하기 위한 구성을 정의하는 구성 요소를 설명합니다.
**역할 기반 액세스 제어(RBAC)**
사용자의 기능 지정을 기반으로 액세스 권한을 부여하는 모델입니다. Amazon Cognito ID 풀은 IAM 역할 간의 차별화를 통해 RBAC를 구현합니다.
**서비스 제공업체(SP), 신뢰 당사자(RP)**
IdP를 사용하여 사용자가 신뢰할 수 있다고 주장하는 애플리케이션입니다. Amazon Cognito는 외부 IdP에 대한 SP 역할을 하며 앱 기반 SP에 대한 IdP 역할을 합니다.
**SAML 공급자**
사용자가 Amazon Cognito에 전달하는 디지털 서명 어설션 문서를 생성하는 사용자 풀 또는 ID 풀에 대한 IdP입니다.
**범용 고유 식별자(UUID)**
개체에 적용되는 128비트 레이블입니다. Amazon Cognito UUID는 사용자 풀 또는 ID 풀마다 고유하지만 특정 UUID 형식을 준수하지 않습니다.
**사용자 디렉터리**
해당 정보를 다른 시스템에 제공하는 사용자 및 해당 속성의 모음입니다. Amazon Cognito 사용자 풀은 사용자 디렉터리이며 외부 사용자 디렉터리에서 사용자를 통합하기 위한 도구이기도 합니다.
## 사용자 풀
이 가이드의 다음 목록에 용어가 표시되면 사용자 풀의 특정 기능 또는 구성을 나타냅니다.
**적응형 인증**
잠재적 악성 활동을 감지하고 [사용자 프로필](#terms-userprofile)에 추가 보안을 적용하는 [고급 보안](#term-advancedsecurity) 기능입니다.
**앱 클라이언트**
사용자 풀에 대한 설정을 하나의 앱에 대한 IdP로 정의하는 구성 요소입니다.
**콜백 URL, 리디렉션 URI, 반환 URL**
[앱 클라이언트](#term-appclient)의 설정과 사용자 풀의 [권한 부여 서버](#terms-managedauthorizationserver)에 대한 요청의 파라미터입니다. 콜백 URL은 [앱](#term-app)에서 인증된 사용자의 초기 대상입니다.
**선택 기반 인증**
사용자 풀을 사용한 API 인증의 한 형태로, 각 사용자는 로그인을 선택할 수 있습니다. MFA를 사용하거나 사용하지 않는 사용자 이름 및 암호, 패스키 로그인 또는 이메일 또는 SMS 메시지 일회용 암호를 사용한 암호 없는 로그인을 선택할 수 있습니다. 애플리케이션은 인증 옵션 목록을 요청하거나 기본 옵션을 선언하여 사용자의 선택 프로세스를 구성할 수 있습니다.
[클라이언트 기반 인증](#terms-declarativeauthentication)과 비교합니다.
**클라이언트 기반 인증**
AWS SDK로 빌드된 사용자 풀 API 및 애플리케이션 백엔드를 사용한 인증의 한 형태입니다. 선언적 인증에서는 애플리케이션이 사용자가 수행해야 하는 로그인 유형을 독립적으로 결정하고 해당 유형을 미리 요청합니다.
[선택 기반 인증](#terms-choicebasedauthentication)과 비교합니다.
**손상된 보안 인증**
공격자가 알고 있을 수 있는 사용자 암호를 탐지하고 [사용자 프로필](#terms-userprofile)에 추가 보안을 적용하는 [고급 보안](#term-advancedsecurity) 기능입니다.
**확인**
새로운 사용자가 로그인할 수 있도록 하는 전제 조건이 충족되었는지 확인하는 프로세스입니다. 확인은 일반적으로 이메일 주소 또는 전화번호 [확인](#terms-verification)을 통해 이루어집니다.
**사용자 지정 인증**
[Lambda 트리거](#terms-triggers)를 사용한 인증 프로세스의 확장으로 추가 사용자 문제 및 응답을 정의합니다.
**디바이스 인증**
신뢰할 수 있는 장치의 ID를 사용하여 로그인하는 방식으로 [MFA](#terms-mfa)를 대체하는 인증 프로세스입니다.
**도메인, 사용자 풀 도메인**
AWS에서 [관리형 로그인 페이지](#terms-managedlogin)를 호스팅하는 웹 도메인입니다. 소유한 도메인에서 DNS를 설정하거나 AWS 소유의 도메인에서 식별 하위 도메인 접두사를 사용할 수 있습니다.
**Essentials 플랜**
사용자 풀의 최신 개발이 포함된 [기능 플랜](#terms-featureplan)입니다. Essentials 플랜에는 [Plus 플랜](#terms-plusplan)의 자동 학습 보안 기능이 포함되지 않습니다.
**외부 제공업체, 타사 제공업체**
사용자 풀과 신뢰 관계가 있는 IdP입니다. 사용자 풀은 외부 공급자와 애플리케이션 간의 중간 엔터티 역할을 하여 SAML 2.0, OIDC 및 소셜 공급자를 통한 인증 프로세스를 관리합니다. 사용자 풀은 외부 공급자 인증 결과를 단일 IdP로 통합하여 애플리케이션이 단일 OIDC 신뢰 당사자 라이브러리로 많은 사용자를 처리할 수 있도록 합니다.
**기능 플랜**
사용자 풀에 대해 선택할 수 있는 기능 그룹입니다. 기능 플랜은 AWS 청구서에서 비용이 다릅니다. 새 사용자 풀은 기본적으로 [Essentials 플랜](#terms-essentialsplan)으로 설정됩니다.
**현재 플랜**
+ [Lite 플랜](#terms-liteplan)
+ [Essentials 플랜](#terms-essentialsplan)
+ [Plus 플랜](#terms-plusplan)
**페더레이션 사용자, 외부 사용자**
[외부 제공업체](#terms-externalprovider)에서 인증한 사용자 풀의 사용자입니다.
**호스트형 UI(클래식), 호스트형 UI 페이지**
사용자 풀 도메인에서 인증 프런트 엔드, 신뢰 당사자 및 ID 공급자 서비스의 초기 버전입니다. 호스트형 UI는 기본 기능 세트를 포함하며 디자인이 간소화되었습니다. 로고 이미지 파일과 미리 결정된 CSS 스타일 세트가 있는 파일을 업로드하여 호스트형 UI 브랜딩을 적용할 수 있습니다. [관리형 로그인](#terms-managedlogin)과 비교합니다.
**Lambda 트리거**
사용자 풀이 사용자 인증 프로세스의 주요 지점에서 자동으로 호출할 수 있는 AWS Lambda의 함수입니다. Lambda 트리거를 사용하여 인증 결과를 사용자 지정할 수 있습니다.
**로컬 사용자**
[외부 제공업체](#terms-externalprovider)에 대한 인증으로 생성되지 않은 사용자 풀 [사용자 디렉터리](#terms-userdirectory)의 [사용자 프로필](#terms-userprofile)입니다.
**연결된 사용자**
ID가 [로컬 사용자](#terms-localuser)와 병합된 [외부 제공업체](#terms-externalprovider)의 사용자입니다.
**Lite 플랜**
사용자 풀로 원래 시작한 기능이 포함된 [기능 플랜](#terms-featureplan)입니다. Lite 플랜에는 [Essentials 플랜](#terms-essentialsplan)의 새 기능 또는 [Plus 플랜](#terms-plusplan)의 자동 학습 보안 기능이 포함되지 않습니다.
**관리형 권한 부여 서버, 호스트형 UI 권한 부여 서버, 권한 부여 서버**
[사용자 풀 도메인](#terms-domain)의 IdP 및 앱과 상호 작용하기 위한 서비스를 호스팅하는 [관리형 로그인](#terms-managedlogin)의 구성 요소입니다. [호스트형 UI](#terms-hostedui)는 제공하는 사용자 대화형 기능의 관리형 로그인과 다르지만 권한 부여 서버 기능은 동일합니다.
**관리형 로그인, 관리형 로그인 페이지**
사용자 인증을 위해 서비스를 호스팅하는 [사용자 풀 도메인](#terms-domain)의 웹 페이지 세트입니다. 이러한 서비스에는 [IdP](#terms-idp)로 작동하기 위한 함수, 타사 IdP의 [신뢰 당사자](#terms-relyingparty), 사용자 대화형 인증 UI의 서버가 포함됩니다. 사용자 풀에 대한 도메인을 설정하면 Amazon Cognito는 모든 관리형 로그인 페이지를 온라인으로 가져옵니다.
애플리케이션은 사용자의 브라우저를 호출하고 가입, 로그인, 암호 관리 및 기타 인증 작업을 위해 관리형 로그인 UI로 전달하는 OIDC 라이브러리를 가져옵니다. 인증 후 OIDC 라이브러리는 인증 요청의 결과를 처리할 수 있습니다.
**관리형 로그인 인증**
사용자 대화형 브라우저 페이지 또는 HTTPS API 요청을 사용하여 [사용자 풀 도메인](#terms-domain)의 서비스로 로그인합니다. 애플리케이션은 OpenID Connect(OIDC) 라이브러리를 사용하여 관리형 로그인 인증을 처리합니다. 이 프로세스에는 [외부 공급자](#terms-externalprovider)와의 로그인, 대화형 관리형 로그인 페이지로 로컬 사용자 로그인, [M2M 권한 부여](#terms-m2m)가 포함됩니다. 클래식 [호스트형 UI](#terms-hostedui)를 사용한 인증도 이 용어에 속합니다.
[AWS SDK 인증](#terms-upapi)과 비교합니다.
**Plus 플랜**
사용자 풀의 최신 개발 및 고급 보안 기능이 포함된 [기능 플랜](#terms-featureplan)입니다.
**SDK 인증, AWS SDK 인증**
AWS SDK를 사용하여 애플리케이션 백엔드에 추가할 수 있는 인증 및 권한 부여 API 작업 세트입니다. 이 인증 모델에는 사용자 지정 로그인 메커니즘이 필요합니다. API는 [로컬 사용자](#terms-localuser) 및 [연결된 사용자](#terms-linkeduser)에 로그인할 수 있습니다.
[관리형 로그인 인증](#terms-managedloginauthentication)과 비교합니다.
**위협 방지, 고급 보안 기능**
사용자 풀에서 위협 보호는 인증 및 권한 부여 메커니즘에 대한 위협을 완화하도록 설계된 기술을 말합니다. 적응형 인증, 손상된 자격 증명 탐지 및 IP 주소 차단 목록은 위협 방지 범주에 속합니다.
**토큰 사용자 지정**
런타임 시 사용자의 ID 또는 액세스 토큰을 수정하는 사전 토큰 생성 [Lambda 트리거](#terms-triggers)의 결과입니다.
**사용자 풀, Amazon Cognito ID 제공업체, `cognito-idp`, Amazon Cognito 사용자 풀**
OIDC IdP와 함께 작동하는 애플리케이션을 위한 인증 및 권한 부여 서비스를 제공하는 AWS 리소스입니다.
**Verification(확인)**
사용자가 이메일 주소 또는 전화번호를 소유하고 있는지 확인하는 프로세스입니다. 사용자 풀은 새 이메일 주소 또는 전화번호를 입력한 사용자에게 코드를 보냅니다. Amazon Cognito에 코드를 제출하면 메시지 대상의 소유권을 확인하고 사용자 풀에서 추가 메시지를 받을 수 있습니다. [확인](#terms-confirmation) 섹션도 참조하세요.
**사용자 프로필, 사용자 계정**
[사용자 디렉터리](#terms-userdirectory)의 사용자 항목입니다. 타사 IdP의 사용자를 포함한 모든 사용자는 사용자 풀에 프로필이 있습니다.
## ID 풀
이 가이드의 다음 목록에 용어가 표시되면 ID 풀의 특정 기능 또는 구성을 나타냅니다.
**액세스 제어를 위한 속성**
ID 풀에서 [속성 기반 액세스 제어](#terms-abac) 구현입니다. ID 풀은 사용자 속성을 사용자 자격 증명에 태그로 적용합니다.
**기본(클래식) 인증**
[사용자 자격 증명](#terms-usercredentials)에 대한 요청을 사용자 지정할 수 있는 인증 프로세스입니다.
**개발자 인증 자격 증명**
[개발자 자격 증명](#terms-developercredentials)을 사용하여 ID 풀 [사용자 자격 증명](#terms-usercredentials)을 승인하는 인증 프로세스입니다.
**개발자 자격 증명**
ID 풀 관리자의 IAM API 키입니다.
**향상된 인증**
IAM 역할을 선택하고 ID 풀에서 정의한 로직에 따라 보안 주체 태그를 적용하는 인증 흐름입니다.
**자격 증명**
앱 사용자와 해당 [사용자 자격 증명](#terms-usercredentials)을 ID 풀과 신뢰 관계가 있는 외부 [사용자 디렉터리](#terms-userdirectory)의 프로필에 연결하는 [UUID](#terms-uuid)입니다.
**ID 풀, Amazon Cognito 페더레이션 ID, Amazon Cognito ID, `cognito-identity` **
[임시 AWS 자격 증명](#terms-usercredentials)을 사용하는 애플리케이션에 대한 인증 및 권한 부여 서비스가 포함된 AWS 리소스입니다.
**인증되지 않은 자격 증명**
ID 풀 IdP를 사용하여 로그인하지 않은 사용자입니다. 사용자가 인증하기 전에 단일 IAM 역할에 대해 제한된 사용자 자격 증명을 생성하도록 허용할 수 있습니다.
**사용자 보안 인증**
사용자가 ID 풀 인증 후 받는 임시 AWS API 키입니다.