As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Banco de identidades do Amazon Cognito Um banco de identidades do Amazon Cognito é um diretório de identidades federadas que você pode trocar por credenciais da  AWS . Os grupos de identidades geram AWS credenciais temporárias para os usuários do seu aplicativo, independentemente de eles terem feito login ou se você ainda não os tiver identificado. Com as funções e políticas AWS Identity and Access Management (IAM), você pode escolher o nível de permissão que deseja conceder aos seus usuários. Os usuários podem começar como convidados e recuperar os ativos mantidos em  Serviços da AWS. Depois, podem fazer login com um provedor de identidades de terceiros para desbloquear o acesso aos ativos disponibilizados aos membros registrados. O provedor de identidade terceirizado pode ser um provedor de consumo (social) OAuth 2.0, como Apple ou Google, um provedor de identidade SAML ou OIDC personalizado, ou um esquema de autenticação personalizado, também chamado de *provedor de desenvolvedor*, criado por você mesmo.Recursos de bancos de identidades do Amazon Cognito **Assine solicitações para Serviços da AWS** [Assine solicitações de API](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) Serviços da AWS como Amazon Simple Storage Service (Amazon S3) e Amazon DynamoDB. Analise a atividade do usuário com serviços como Amazon Pinpoint e Amazon. CloudWatch **Filtrar solicitações com políticas baseadas em recurso** Exerça um controle detalhado sobre o acesso dos usuários aos seus recursos. Transforme declarações de usuários em [tags de sessão do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) e crie políticas do IAM que concedam acesso de recursos a subconjuntos distintos de usuários. **Atribuir acesso de convidado** Para os usuários que ainda não fizeram login, configure o banco de identidades para gerar credenciais da  AWS  com um escopo de acesso restrito. Autentique usuários por meio de um provedor de autenticação única para aumentar o acesso deles. **Atribuir perfis do IAM com base nas características do usuário** Atribua um único perfil do IAM a todos os usuários autenticados ou selecione o perfil com base nas declarações de cada um. **Aceitar uma variedade de provedores de identidades** Troque um ID ou token de acesso, um token de grupo de usuários, uma declaração SAML ou um token de provedor social por credenciais OAuth . AWS **Validar suas próprias identidades** Faça sua própria validação de usuário e use suas AWS credenciais de desenvolvedor para emitir credenciais para seus usuários. Talvez você já tenha um grupo de usuários do Amazon Cognito que forneça serviços de autenticação e autorização para sua aplicação. Você pode configurar o grupo de usuários como um provedor de identidades (IdP) para o banco de identidades. Ao fazer isso, seus usuários podem se autenticar por meio de seu grupo de usuários IdPs, consolidar suas reivindicações em um token de identidade OIDC comum e trocar esse token por credenciais. AWS O usuário pode então apresentar as credenciais dele em uma solicitação assinada para os  Serviços da AWS. Você também pode apresentar declarações autenticadas de qualquer um dos provedores de identidades diretamente em seu banco de identidades. O Amazon Cognito personaliza declarações de usuários de provedores de SAML e OIDC em uma [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)solicitação de API para credenciais de curto prazo. OAuth Os grupos de usuários do Amazon Cognito são como provedores de identidades OIDC para suas aplicações habilitadas para SSO. Os bancos de identidades funcionam como um provedor de identidades da *AWS* para qualquer aplicação com dependências de recursos que funcionam melhor com a autorização do IAM. Os grupos de identidades do Amazon Cognito oferecem suporte aos seguintes provedores de identidade: + Provedores públicos: [Configurar o Login with Amazon como um IdP de bancos de identidades](amazon.md), [Configurar o Facebook como um IdP de bancos de identidades](facebook.md), [Configurar o Google como um IdP do banco de identidades](google.md), [Configurar o Login com a Apple como um IdP do banco de identidades](apple.md), Twitter. + [Grupos de usuários do Amazon Cognito](cognito-user-pools.md) + [Configurar um provedor OIDC como um IdP do banco de identidades](open-id.md) + [Configurar um provedor SAML como um IdP do banco de identidades](saml-identity-provider.md) + [Identidades autenticadas pelo desenvolvedor](developer-authenticated-identities.md) Para obter informações sobre a disponibilidade de regiões dos grupos de identidades do Amazon Cognito, consulte [Disponibilidade de regiões de serviço da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Para obter mais informações sobre os grupos de identidades do Amazon Cognito, consulte os tópicos a seguir. **Topics** + [Visão geral do console de bancos de identidades](identity-pools.md) + [Fluxo de autenticação dos bancos de identidades](authentication-flow.md) + [Perfis do IAM](iam-roles.md) + [Práticas recomendadas de segurança para bancos de identidades do Amazon Cognito](identity-pools-security-best-practices.md) + [Usar atributos para controle de acesso](attributes-for-access-control.md) + [Controle de acesso com base em perfil](role-based-access-control.md) + [Como obter credenciais](getting-credentials.md) + [Acessando Serviços da AWS com credenciais temporárias](accessing-aws-services.md) + [Bancos de identidades: provedores de identidade de terceiros](external-identity-providers.md) + [Identidades autenticadas pelo desenvolvedor](developer-authenticated-identities.md) + [Alternar usuários não autenticados para usuários autenticados](switching-identities.md)