기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 사용자 풀 도메인 구성
도메인 구성은 사용자 풀 설정의 선택적 부분입니다. 사용자 풀 도메인은 사용자 인증, 타사 공급자와의 페더레이션 및 OpenID Connect(OIDC) 흐름을 위한 기능을 호스팅합니다. 여기에는 가입, 로그인 및 암호 복구와 같은 키 작업을 위한 사전 구축된 인터페이스인 *관리형 로그인*이 있습니다. 또한 기계 간(M2M) 권한 부여 및 기타 OIDC 및 OAuth 2.0 인증 및 권한 부여 흐름을 위해 [권한 부여](authorization-endpoint.md), [userInfo](userinfo-endpoint.md) 및 [토큰](token-endpoint.md)과 같은 표준 OpenID Connect(OIDC) 엔드포인트를 호스팅합니다.
사용자는 사용자 풀과 연결된 도메인에서 관리형 로그인 페이지로 인증합니다. 이 도메인을 구성하는 방법에는 두 가지가 있습니다. 기본 Amazon Cognito 호스팅 도메인을 사용하거나 사용자가 소유한 사용자 지정 도메인을 구성할 수 있습니다.
사용자 지정 도메인 옵션에는 유연성, 보안 및 제어를 위한 더 많은 옵션이 있습니다. 예를 들어, 친숙한 조직 소유 도메인은 사용자의 신뢰를 높이고 로그인 프로세스를 더욱 직관적으로 만들 수 있습니다. 하지만 사용자 지정 도메인 접근 방식에는 SSL 인증서 및 DNS 구성 관리와 같은 몇 가지 추가 오버헤드가 필요합니다.
OIDC 검색 엔드포인트, 엔드포인트 URL용 `/.well-known/openid-configuration` 및 토큰 서명 키용 `/.well-known/jwks.json`는 도메인에서 호스팅되지 않습니다. 자세한 내용은 [ID 제공업체 및 신뢰 당사자 엔드포인트](federation-endpoints.md) 단원을 참조하십시오.
사용자 풀의 도메인을 구성하고 관리하는 방법을 이해하는 것은 애플리케이션에 인증을 통합하는 데 중요한 단계입니다. 사용자 풀 API 및 AWS SDK를 사용한 로그인은 도메인 구성의 대안이 될 수 있습니다. API 기반 모델은 API 응답에서 토큰을 직접 전달하지만 사용자 풀의 확장된 기능을 OIDC IdP로 사용하는 구현의 경우 도메인을 구성해야 합니다. 사용자 풀에서 사용할 수 있는 인증 모델에 대한 자세한 내용은 [API, OIDC 및 관리형 로그인 페이지 인증 이해](authentication-flows-public-server-side.md#user-pools-API-operations) 섹션을 참조하세요.
**Topics**
+ [사용자 풀 도메인에 대해 알아야 할 사항](#cognito-user-pools-assign-domain-things-to-know)
+ [관리형 로그인에 Amazon Cognito 접두사 도메인 사용](cognito-user-pools-assign-domain-prefix.md)
+ [관리형 로그인에 자체 도메인 사용](cognito-user-pools-add-custom-domain.md)
## 사용자 풀 도메인에 대해 알아야 할 사항
사용자 풀 도메인은 애플리케이션의 OIDC 신뢰 당사자와 UI 요소에 대한 서비스 지점입니다. 사용자 풀에 대한 도메인 구현을 계획할 때는 다음 세부 정보를 고려하세요.
**예약 용어**
Amazon Cognito 접두사 도메인 이름에는 `aws`, `amazon` 또는 `cognito` 텍스트를 사용할 수 없습니다.
**검색 엔드포인트가 다른 도메인에 있음**
사용자 풀 [검색 엔드포인트](federation-endpoints.md) `.well-known/openid-configuration` 및 `.well-known/jwks.json`은 사용자 풀 사용자 지정 또는 접두사 도메인에 없습니다. 이러한 엔드포인트의 경로는 다음과 같습니다.
+ `https://cognito-idp.{{Region}}.amazonaws.com/{{your user pool ID}}/.well-known/openid-configuration`
+ `https://cognito-idp.{{Region}}.amazonaws.com/{{your user pool ID}}/.well-known/jwks.json`
**도메인 변경 유효 시간**
Amazon Cognito가 접두사 도메인의 브랜딩 버전을 시작하거나 업데이트하는 데 최대 1분이 걸릴 수 있습니다. 사용자 지정 도메인에 대한 변경 사항이 전파되는 데 최대 5분이 걸릴 수 있습니다. 새 사용자 지정 도메인이 전파되는 데 최대 1시간이 걸릴 수 있습니다.
**사용자 지정 도메인과 접두사 도메인을 동시에 사용**
사용자 지정 도메인과가 소유한 접두사 도메인을 모두 사용하여 사용자 풀을 설정할 수 있습니다 AWS. 사용자 풀 [검색 엔드포인트](federation-endpoints.md)는 다른 도메인에서 호스팅되므로 *사용자 지정 도메인*에만 제공됩니다. 예를 들어, `openid-configuration`는 `"https://auth.example.com/oauth2/authorize"`의 `"authorization_endpoint"`에 대한 단일 값을 제공합니다.
사용자 풀에 사용자 지정 도메인과 접두사 도메인이 모두 있는 경우 OIDC 공급자의 전체 기능과 함께 사용자 지정 도메인을 사용할 수 있습니다. 이 구성을 사용하는 사용자 풀의 접두사 도메인에는 검색 또는 token-signing-key 엔드포인트가 없으므로 그에 따라 사용해야 합니다.
**패스키에 대한 신뢰 당사자 ID로 선호되는 사용자 지정 도메인**
[패스키](amazon-cognito-user-pools-authentication-flow-methods.md#amazon-cognito-user-pools-authentication-flow-methods-passkey)를 사용하여 사용자 풀 인증을 설정할 때는 신뢰 당사자(RP) ID를 설정해야 합니다. 사용자 지정 도메인과 접두사 도메인이 있는 경우 RP ID만 사용자 지정 도메인으로 설정할 수 있습니다. Amazon Cognito 콘솔에서 접두사 도메인을 RP ID로 설정하려면 사용자 지정 도메인을 삭제하거나 접두사 도메인의 정규화된 도메인 이름(FQDN)을 **타사 도메인**으로 입력합니다.
**도메인 계층 구조의 다른 수준에서 사용자 지정 도메인을 사용하지 마십시오.**
별도의 사용자 풀을 구성하여 동일한 최상위 도메인(TLD)에 사용자 지정 도메인(예: *auth.example.com* 및 *auth2.example.com*)을 가질 수 있습니다. 관리형 로그인 세션 쿠키는 사용자 지정 도메인 및 모든 하위 도메인(예: *\*.auth.example.com*)에 유효합니다. 이로 인해 애플리케이션의 어떤 사용자도 상위 도메인 *및* 하위 도메인의 관리형 로그인에 액세스해서는 안 됩니다. 사용자 지정 도메인이 동일한 TLD를 사용하는 경우 동일한 하위 도메인 수준을 유지합니다.
사용자 지정 도메인 *auth.example.com*이 있는 사용자 풀이 있다고 가정해 보겠습니다. 그런 다음 다른 사용자 풀을 생성하고 사용자 지정 도메인 *uk.auth.example.com.*을 할당합니다. 사용자는 *auth.example.com*으로 로그인하고 브라우저가 와일드카드 경로 *\*.auth.example.com*에 있는 모든 웹 사이트에 제공하는 쿠키를 받습니다. 그런 다음 *uk.auth.example.com.*에 로그인합니다. 이는 잘못된 쿠키를 사용자 풀 도메인에 전달하고 로그인 프롬프트 대신 오류를 수신합니다. 반면, *\*.auth.example.com*에 대한 쿠키가 있는 사용자는 *auth2.example.com*에서 로그인 세션을 시작하는 데 문제가 없습니다.
**브랜딩 버전**
도메인을 생성할 때 **브랜딩 버전**을 설정합니다. 옵션은 최신 관리형 로그인 환경과 클래식 호스팅 UI 환경입니다. 이 선택 사항은 도메인에서 서비스를 호스팅하는 모든 앱 클라이언트에 적용됩니다.