As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Visão geral do console de bancos de identidades
Os grupos de identidade do Amazon Cognito fornecem AWS credenciais temporárias para usuários convidados (não autenticados) e para usuários que foram autenticados e receberam um token. O banco de identidades é um repositório de identificadores de usuário vinculados aos seus provedores de identidade externos.
Uma forma de entender os recursos e as opções dos bancos de identidades é criar um no console do Amazon Cognito. Você pode explorar o efeito de diferentes configurações nos fluxos de autenticação, no controle de acesso baseado em funções e atributos e no acesso de convidados. A partir daí, você pode avançar até os capítulos posteriores deste guia e adicionar os componentes apropriados à sua aplicação para poder implementar a autenticação do banco de identidades.
**Topics**
+ [Criar um banco de identidades do](#identity-pools-create)
+ [Funções do IAM do usuário](#user-iam-roles)
+ [Identidades autenticadas e não autenticadas](#authenticated-and-unauthenticated-identities)
+ [Ativar ou desativar o acesso de convidados](#enable-or-disable-unauthenticated-identities)
+ [Alteração da função associada a um tipo de identidade](#change-the-role-associated-with-an-identity-type)
+ [Editar provedores de identidades](#enable-or-edit-authentication-providers)
+ [Excluir um grupo de identidades](#delete-an-identity-pool)
+ [Excluir uma identidade de um grupo de identidades](#delete-an-identity-from-an-identity-pool)
+ [Usar o Amazon Cognito Sync com grupos de identidades](#identity-pools-sync)
## Criar um banco de identidades do
**Para criar um novo grupo de identidades no console**
1. Faça login no [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home) e selecione **Bancos de identidades**.
1. Selecione **Criar banco de identidades**.
1. Em **Configurar confiança do banco de identidades**, opte por configurar seu banco de identidades para **Acesso autenticado**, **Acesso de convidado** ou ambos.
1. Se você selecionou **Acesso autenticado**, escolha um ou mais **Tipos de identidade** que você deseja definir como origem de identidades autenticadas no banco de identidades. Se você configurar um **Provedor de desenvolvedor personalizado**, não poderá modificá-lo nem o excluir depois de criar o banco de identidades.
1. Em **Configurar permissões**, selecione um perfil padrão do IAM para usuários autenticados ou convidados em seu banco de identidades.
1. Selecione **Criar um perfil do IAM** se quiser que o Amazon Cognito crie um perfil para você com permissões básicas e uma relação de confiança com seu banco de identidades. Insira um **Nome de perfil do IAM** para identificar seu novo perfil; por exemplo, `myidentitypool_authenticatedrole`. Selecione **Visualizar documento de política** para examinar as permissões que o Amazon Cognito atribuirá ao novo perfil do IAM.
1. Você pode optar por **usar uma função do IAM existente** se já tiver uma função na sua Conta da AWS que queira usar. Você deve configurar sua política de confiança de perfis do IAM para incluir `cognito-identity.amazonaws.com`. Configure sua política de confiança de perfil para permitir que o Amazon Cognito assuma o perfil somente quando apresentar evidências de que a solicitação se originou de um usuário autenticado em seu banco de identidades específico. Para obter mais informações, consulte [Permissões e confiança de função](iam-roles.md#role-trust-and-permissions).
1. Em **Connect identity providers**, insira os detalhes dos provedores de identidade (IdPs) que você escolheu em **Configurar a confiança do grupo de identidades**. Você pode ser solicitado a fornecer informações do cliente do OAuth aplicativo, escolher um grupo de usuários do Amazon Cognito, escolher um IdP do IAM ou inserir um identificador personalizado para um provedor de desenvolvedores.
1. Selecione **Configurações de perfil** para cada IdP. Você pode atribuir aos usuários desse IdP o **Perfil padrão** que você configurou ao definir seu **Perfil autenticado** ou **Escolher perfil com regras**. Com um IdP de grupo de usuários do Amazon Cognito, você também pode **Escolher perfil com preferred\$1role em tokens**. Para ter mais informações sobre a declaração `cognito:preferred_role`, consulte [Como atribuir valores de precedência a grupos](cognito-user-pools-user-groups.md#assigning-precedence-values-to-groups).
1. Se você escolheu **Escolher perfil com regras**, insira a **Declaração** de origem da autenticação do usuário, o **Operador** pelo qual deseja comparar a declaração, o **Valor** que gerará uma correspondência com essa opção de perfil e o **Perfil** que deseja atribuir quando houver correspondência com a **Atribuição de função**. Selecione **Adicionar outra** para criar uma regra adicional com base em uma condição diferente.
1. Selecione uma **Resolução de perfil**. Quando as declarações do usuário não correspondem às suas regras, você pode negar ou emitir credenciais para seu **Perfil autenticado**.
1. Configure **Atributos para controle de acesso** para cada IdP. Os atributos para controle de acesso correlacionam as declarações do usuário com as [tags de entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) que o Amazon Cognito aplica à sua sessão temporária. Você pode criar políticas do IAM para filtrar o acesso do usuário com base nas tags aplicadas à sessão.
1. Para não aplicar nenhuma tag de entidade principal, selecione **Inativo**.
1. Para aplicar tags de entidade principal com base em declarações `sub` e `aud`, selecione **Usar mapeamentos padrão**.
1. Para criar seu próprio esquema personalizado de atributos para as tags de entidade principal, selecione **Usar mapeamentos personalizados**. Depois, insira a **Chave de tag** que você deseja obter de cada **declaração** e representar em uma tag.
1. Em **Configurar propriedades**, insira um **Nome** em **Nome do banco de identidades**.
1. Em **Autenticação básica (clássica)**, escolha se você deseja **Ativar fluxo básico**. Com o fluxo básico ativo, você pode ignorar as seleções de função que você fez para você IdPs e ligar diretamente. [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) Para obter mais informações, consulte [Fluxo de autenticação dos bancos de identidades](authentication-flow.md).
1. Em **Tags**, selecione **Adicionar tag** se quiser aplicar [tags](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) ao banco de identidades.
1. Em **Revisar e criar**, confirme as seleções que você fez para o novo banco de identidades. Selecione **Editar** para retornar ao assistente e alterar as configurações. Quando terminar, selecione **Criar banco de identidades**.
## Funções do IAM do usuário
Uma função do IAM define as permissões para seus usuários acessarem AWS recursos, por exemplo[Amazon Cognito Sync](cognito-sync.md). Os usuários do aplicativo assumirão as funções que você criar. Você pode especificar funções diferentes para usuários autenticados e não autenticados. Para saber mais sobre as funções do IAM, consulte [Perfis do IAM](iam-roles.md).
## Identidades autenticadas e não autenticadas
Os grupos de identidades do Amazon Cognito oferecem suporte a identidades autenticadas e não autenticadas. As identidades autenticadas pertencem a usuários que são autenticados por qualquer provedor de identidades. As identidades não autenticadas normalmente pertencem a usuários convidados.
+ Para configurar as identidades autenticadas com um provedor de login público, consulte [Bancos de identidades: provedores de identidade de terceiros](external-identity-providers.md).
+ Para configurar seu próprio processo de autenticação de backend, consulte [Identidades autenticadas pelo desenvolvedor](developer-authenticated-identities.md).
## Ativar ou desativar o acesso de convidados
O acesso de convidados aos grupos de identidade do Amazon Cognito (identidades não autenticadas) fornece um identificador e AWS credenciais exclusivos para usuários que não se autenticam com um provedor de identidade. Se a aplicação permitir usuários que não fazem login, você poderá ativar o acesso para identidades não autenticadas. Para saber mais, consulte [Conceitos básicos dos bancos de identidades do Amazon Cognito](getting-started-with-identity-pools.md).
**Como atualizar o acesso de convidados em um banco de identidades**
1. Selecione **Bancos de identidades** no [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home). Selecione um banco de identidades.
1. Selecione a guia **Acesso do usuário**.
1. Localize **Acesso de convidado**. Em um banco de identidades não compatível no momento com o acesso de convidados, o **Status** é **Inativo**.
1. Se **Acesso de convidado** estiver **Ativo** e você quiser desativá-lo, selecione **Desativar**.
1. Se **Acesso de convidado** estiver **Inativo** e você quiser ativá-lo, selecione **Editar**.
1. Selecione um perfil padrão do IAM para usuários convidados em seu banco de identidades.
1. Selecione **Criar um perfil do IAM** se quiser que o Amazon Cognito crie um perfil para você com permissões básicas e uma relação de confiança com seu banco de identidades. Insira um **Nome de perfil do IAM** para identificar seu novo perfil; por exemplo, `myidentitypool_authenticatedrole`. Selecione **Visualizar documento de política** para examinar as permissões que o Amazon Cognito atribuirá ao novo perfil do IAM.
1. Você pode optar por **usar uma função do IAM existente** se já tiver uma função na sua Conta da AWS que queira usar. Você deve configurar sua política de confiança de perfis do IAM para incluir `cognito-identity.amazonaws.com`. Configure sua política de confiança de perfil para permitir que o Amazon Cognito assuma o perfil somente quando apresentar evidências de que a solicitação se originou de um usuário autenticado em seu banco de identidades específico. Para obter mais informações, consulte [Permissões e confiança de função](iam-roles.md#role-trust-and-permissions).
1. Selecione **Salvar alterações**.
1. Para ativar o acesso de convidados, selecione **Ativar** na guia **Acesso do usuário**.
## Alteração da função associada a um tipo de identidade
Cada identidade em seu grupo de identidades é autenticada ou não autenticada. As identidades autenticadas pertencem aos usuários que são autenticados por um provedor de login público (grupos de usuários do Amazon Cognito, Login with Amazon, Fazer login com a Apple, Facebook, Google, SAML ou qualquer provedor do OpenID Connect) ou um provedor de desenvolvedor (seu próprio processo de autenticação de backend). As identidades não autenticadas normalmente pertencem a usuários convidados.
Para cada tipo de identidade, há uma função atribuída. Essa função tem uma política anexada que determina qual função Serviços da AWS essa função pode acessar. Quando o Amazon Cognito receber uma solicitação, o serviço determina o tipo de identidade, a função atribuída a esse tipo de identidade e usa a política anexada a essa função para responder. Ao modificar uma política ou atribuir uma função diferente a um tipo de identidade, você pode controlar qual tipo Serviços da AWS de identidade pode acessar. Para exibir ou modificar as políticas associadas às funções no grupo de identidades, consulte o [Console do AWS IAM](https://console.aws.amazon.com/iam/home).
**Como alterar o perfil padrão autenticado ou não autenticado do banco de identidades**
1. Selecione **Bancos de identidades** no [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home). Selecione um banco de identidades.
1. Selecione a guia **Acesso do usuário**.
1. Localize **Acesso de convidado** ou **Acesso autenticado**. Em um banco de identidades não configurado no momento para esse tipo de acesso, o **Status** é **Inativo**. Selecione **Editar**.
1. Selecione um perfil padrão do IAM para convidados ou usuários autenticados em seu banco de identidades.
1. Selecione **Criar um perfil do IAM** se quiser que o Amazon Cognito crie um perfil para você com permissões básicas e uma relação de confiança com seu banco de identidades. Insira um **Nome de perfil do IAM** para identificar seu novo perfil; por exemplo, `myidentitypool_authenticatedrole`. Selecione **Visualizar documento de política** para examinar as permissões que o Amazon Cognito atribuirá ao novo perfil do IAM.
1. Você pode optar por **usar uma função do IAM existente** se já tiver uma função na sua Conta da AWS que queira usar. Você deve configurar sua política de confiança de perfis do IAM para incluir `cognito-identity.amazonaws.com`. Configure sua política de confiança de perfil para permitir que o Amazon Cognito assuma o perfil somente quando apresentar evidências de que a solicitação se originou de um usuário autenticado em seu banco de identidades específico. Para obter mais informações, consulte [Permissões e confiança de função](iam-roles.md#role-trust-and-permissions).
1. Selecione **Salvar alterações**.
## Editar provedores de identidades
Se você permitir que os usuários realizem a autenticação por meio de provedores de identidades públicos (por exemplo, grupos de usuários do Amazon Cognito, Login with Amazon, Login with Apple, Facebook ou Google), poderá especificar os identificadores da aplicação no console de bancos de identidades (identidades federadas) do Amazon Cognito. Isso associa o ID do aplicativo (fornecido pelo provedor de login público) ao seu grupo de identidades.
Você também pode configurar regras de autenticação para cada provedor desta página. Cada provedor permite até 25 regras. As regras são aplicadas na ordem salva para cada provedor. Para obter mais informações, consulte [Controle de acesso com base em perfil](role-based-access-control.md).
**Atenção**
A alteração do ID da aplicação do IdP vinculado em seu banco de identidades impede que os usuários existentes se autentiquem no banco de identidades em questão. Para obter mais informações, consulte [Bancos de identidades: provedores de identidade de terceiros](external-identity-providers.md).
**Como atualizar um provedor de identidades (IdP) de banco de identidades**
1. Selecione **Bancos de identidades** no [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home). Selecione um banco de identidades.
1. Selecione a guia **Acesso do usuário**.
1. Localize **Provedores de identidade**. Selecione o provedor de identidades a ser editado. Se você quiser adicionar um novo IdP, selecione **Adicionar provedor de identidade**.
1. Se você escolheu **Adicionar provedor de identidade**, selecione um dos **Tipos de identidade** que você deseja adicionar.
1. Para alterar o ID da aplicação, selecione **Editar** em **Informações do provedor de identidade**.
1. Para alterar o perfil que o Amazon Cognito solicita ao emitir credenciais para usuários que se autenticaram com esse provedor, selecione **Editar** em **Configurações do perfil**.
1. Você pode atribuir aos usuários desse IdP o **Perfil padrão** que você configurou ao definir seu **Perfil autenticado** ou **Escolher perfil com regras**. Com um IdP de grupo de usuários do Amazon Cognito, você também pode **Escolher perfil com preferred\$1role em tokens**. Para ter mais informações sobre a declaração `cognito:preferred_role`, consulte [Como atribuir valores de precedência a grupos](cognito-user-pools-user-groups.md#assigning-precedence-values-to-groups).
1. Se você escolheu **Escolher perfil com regras**, insira a **Declaração** de origem da autenticação do usuário, o **Operador** pelo qual deseja comparar a declaração, o **Valor** que gerará uma correspondência com essa opção de perfil e o **Perfil** que deseja atribuir quando houver correspondência com a **Atribuição de função**. Selecione **Adicionar outra** para criar uma regra adicional com base em uma condição diferente.
1. Selecione uma **Resolução de perfil**. Quando as declarações do usuário não correspondem às suas regras, você pode negar ou emitir credenciais para seu **Perfil autenticado**.
1. Para alterar as tags de entidade principal que o Amazon Cognito atribui quando emite credenciais para usuários que se autenticaram com esse provedor, selecione **Editar** em **Atributos para controle de acesso**.
1. Para não aplicar nenhuma tag de entidade principal, selecione **Inativo**.
1. Para aplicar tags de entidade principal com base em declarações `sub` e `aud`, selecione **Usar mapeamentos padrão**.
1. Para criar seu próprio esquema personalizado de atributos para as tags de entidade principal, selecione **Usar mapeamentos personalizados**. Depois, insira a **Chave de tag** que você deseja obter de cada **declaração** e representar em uma tag.
1. Selecione **Salvar alterações**.
## Excluir um grupo de identidades
Não é possível desfazer a exclusão do banco de identidades. Após a exclusão de um banco de identidades, todas as aplicações e usuários que dependem dele param de funcionar.
**Para excluir um grupo de identidades**
1. Selecione **Bancos de identidades** no [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home). Marque a caixa de opção ao lado do banco de identidades a ser excluído.
1. Selecione **Excluir**.
1. Insira ou cole o nome do banco de identidades e selecione **Excluir**.
**Atenção**
Ao selecionar o botão Delete (Excluir), você excluirá permanentemente seu grupo de identidades e todos os dados de usuários nele contidos. A exclusão de um banco de identidades fará com que as aplicações e outros serviços que utilizam o banco parem de funcionar.
## Excluir uma identidade de um grupo de identidades
Ao excluir uma identidade de um banco de identidades, você remove as informações de identificação que o Amazon Cognito armazenou para esse usuário federado. Quando o usuário solicitar credenciais novamente, ele receberá um novo ID de identidade se o banco de identidades ainda confiar em seu provedor de identidades. Você não pode desfazer esta operação.
**Como excluir uma identidade**
1. Selecione **Bancos de identidades** no [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home). Selecione um banco de identidades.
1. Selecione a guia **Navegador de identidade**.
1. Marque a caixa de seleção ao lado das identidades a serem excluídas e selecione **Excluir**. Confirme que você deseja excluir as identidades e selecione **Excluir**.
## Usar o Amazon Cognito Sync com grupos de identidades
O Amazon Cognito Sync é uma AWS service (Serviço da AWS) biblioteca de clientes que possibilita a sincronização de dados de usuários relacionados a aplicativos em vários dispositivos. O Amazon Cognito pode sincronizar dados de perfil do usuário entre dispositivos móveis e a Web sem precisar usar seu próprio backend. As bibliotecas de cliente armazenam dados em cache localmente para que a aplicação possa ler e gravar dados, independentemente do status de conectividade do dispositivo. Quando o dispositivo estiver online, você poderá sincronizar dados. Se você configurar a sincronização por push, poderá notificar outros dispositivos imediatamente de que uma atualização está disponível.
### Como gerenciar conjuntos de dados
Se você tiver implementado a funcionalidade do Amazon Cognito na sua aplicação, o console dos grupos de identidades do Amazon Cognito permitirá que você crie e exclua manualmente conjuntos de dados e registros para identidades individuais. Qualquer alteração feita no conjunto de dados ou nos registros de uma identidade no console de grupos de identidades do Amazon Cognito só será salva depois que você selecionar **Synchronize** (Sincronizar) no console. A alteração não fica visível para o usuário final até que a identidade chame **Synchronize** (Sincronizar). Os dados que estão sendo sincronizados de outros dispositivos para identidades individuais ficam visíveis depois que você atualizar a página de conjuntos de dados de lista de uma identidade específica.
#### Criar um conjunto de dados para uma identidade
O Amazon Cognito Sync associa um conjunto de dados a uma identidade. Você pode preencher o conjunto de dados com informações de identificação sobre o usuário que a identidade representa e sincronizar essas informações com todos os dispositivos do usuário.
**Como adicionar um conjunto de dados e registros de conjunto de dados a uma identidade**
1. Selecione **Bancos de identidades** no [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home). Selecione um banco de identidades.
1. Selecione a guia **Navegador de identidade**.
1. Selecione a identidade a ser editada.
1. Em **Conjuntos de dados**, selecione **Criar conjunto de dados**.
1. Insira um **Nome de conjunto de dados** e selecione **Criar conjunto de dados**.
1. Se você quiser adicionar registros ao conjunto de dados, selecione o conjunto de dados nos detalhes de identidade. Em **Registros**, selecione **Criar registro**.
1. Insira uma **Chave** e um **Valor** para o registro. Escolha **Confirmar**. Repita para adicionar mais registros.
#### Excluir um conjunto de dados associado a uma identidade
**Como excluir um conjunto de dados de uma identidade e os respectivos registros**
1. Selecione **Bancos de identidades** no [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home). Selecione um banco de identidades.
1. Selecione a guia **Navegador de identidade**.
1. Selecione a identidade que contém o conjunto de dados a ser excluído.
1. Em **Conjuntos de dados**, selecione o botão de opção ao lado do conjunto de dados que você deseja excluir.
1. Selecione **Excluir**. Revise sua escolha e selecione **Excluir** novamente.
### Publicação de dados em massa
A publicação em massa pode ser usada para exportar dados já armazenados no repositório do Amazon Cognito Sync para um fluxo do Amazon Kinesis. Para obter instruções sobre como publicar em massa todos os seus fluxos, consulte [Como implementar o Amazon Cognito Sync Streams](cognito-streams.md).
### Ativar a sincronização por push
O Amazon Cognito rastreia automaticamente a associação entre identidade e dispositivos. Usando o recurso de sincronização por push, você pode garantir que cada instância de determinada identidade seja notificada quando os dados da identidade forem alterados. A sincronização por push faz isso de maneira que, sempre que o conjunto de dados de uma identidade for alterado, todos os dispositivos associados a essa identidade recebam uma notificação push silenciosa informando-os da alteração.
Você pode ativar a sincronização por push no console do Amazon Cognito.
**Como ativar a sincronização por push**
1. Selecione **Bancos de identidades** no [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home). Selecione um banco de identidades.
1. Selecione a guia **Propriedades do grupo de identidades**.
1. Em **Sincronização por push**, selecione **Editar**.
1. Selecione **Ativar sincronização por push com seu banco de identidades**.
1. Selecione uma das **Aplicações de plataforma** do Amazon Simple Notification Service (Amazon SNS) que você criou na Região da AWS atual. O Amazon Cognito publica notificações push em sua aplicação de plataforma. Selecione **Criar aplicação de plataforma** para navegar até o console do Amazon SNS e crie outra.
1. Para publicar em sua aplicação de plataforma, o Amazon Cognito assume um perfil do IAM em sua Conta da AWS. Selecione **Criar um perfil do IAM** se quiser que o Amazon Cognito crie um perfil para você com permissões básicas e uma relação de confiança com seu banco de identidades. Insira um **Nome de perfil do IAM** para identificar seu novo perfil; por exemplo, `myidentitypool_authenticatedrole`. Selecione **Visualizar documento de política** para examinar as permissões que o Amazon Cognito atribuirá ao novo perfil do IAM.
1. Você pode optar por **usar uma função do IAM existente** se já tiver uma função na sua Conta da AWS que queira usar. Você deve configurar sua política de confiança de perfis do IAM para incluir `cognito-identity.amazonaws.com`. Configure sua política de confiança de perfil para permitir que o Amazon Cognito assuma o perfil somente quando apresentar evidências de que a solicitação se originou de um usuário autenticado em seu banco de identidades específico. Para obter mais informações, consulte [Permissões e confiança de função](iam-roles.md#role-trust-and-permissions).
1. Selecione **Salvar alterações**.
### Configurar o Amazon Cognito Streams
O Amazon Cognito Streams oferece aos desenvolvedores controle e insight sobre os dados armazenados no Amazon Cognito Sync. Agora, os desenvolvedores podem configurar um fluxo do Kinesis para receber eventos como dados. O Amazon Cognito pode enviar cada alteração de conjunto de dados a um fluxo do Kinesis de sua propriedade em tempo real. Para obter instruções sobre como configurar o Amazon Cognito Streams no console do Amazon Cognito, consulte [Como implementar o Amazon Cognito Sync Streams](cognito-streams.md).
### Configurar o Amazon Cognito Events
O Amazon Cognito Events permite que você execute uma AWS Lambda função em resposta a eventos importantes no Amazon Cognito Sync. O Amazon Cognito Sync gera o evento Sync Trigger quando um conjunto de dados é sincronizado. Você pode usar o evento Sync Trigger para executar uma ação quando um usuário atualizar dados. Para obter instruções sobre como configurar eventos do Amazon Cognito no console, consulte [Como personalizar fluxos de trabalho com o Amazon Cognito Events](cognito-events.md).
Para saber mais sobre AWS Lambda, consulte [AWS Lambda](https://aws.amazon.com/lambda/).