本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon Cognito 身分集區 Amazon Cognito 身分池是您可以交換 AWS 憑證的聯合身分目錄。身分集區會為您的應用程式使用者產生臨時 AWS 登入資料,無論他們是否已登入或您尚未識別他們。使用 AWS Identity and Access Management (IAM) 角色和政策,您可以選擇要授予使用者的權限層級。使用者可從訪客開始,擷取您保存在 AWS 服務中的資產。然後,他們可以使用第三方身分提供者登入,以解鎖您提供給註冊會員的資產存取權。第三方身分提供者可以是消費者 (社交) OAuth 2.0 提供者 (例如 Apple 或 Google),自定義 SAML 或 OIDC 身分提供者,或者您自己設計的自定義身分驗證方案 (也稱為開發人員提供者)。Amazon Cognito 身分池功能 **簽署 的請求 AWS 服務** 將 [API 請求簽署](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html)至 , AWS 服務 例如 Amazon Simple Storage Service (Amazon S3) 和 Amazon DynamoDB。使用 Amazon Pinpoint 和 Amazon CloudWatch 等服務分析使用者活動。 **使用以資源為基礎的政策篩選** 對使用者存取您的資源進行精細控制。將使用者宣告轉換為 [IAM 工作階段標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html),並建立 IAM 政策,將資源存取權授與使用者的不同子集。 **指派訪客存取權** 對於尚未登入的使用者,請設定您的身分池,以產生存取範圍更小的 AWS 憑證。透過單一登入提供者驗證使用者,以提升其存取權。 **根據使用者特性指派 IAM 角色** 為所有已驗證的使用者指派單一 IAM 角色,或根據每個使用者的宣告選擇角色。 **接受各種身分提供者** 交換 ID 或存取權杖、使用者集區權杖、SAML 聲明或 AWS 憑證的社交提供者 OAuth 權杖。 **驗證您自己的身分** 執行您自己的使用者驗證,並使用開發人員 AWS 登入資料為您的使用者發出登入資料。 您可能已經擁有 Amazon Cognito 使用者集區,可為您的應用程式提供身份驗證和授權服務。您可以將使用者集區身分提供者 (IdP) 設定為身分池。當您這麼做時,您的使用者可以透過您的使用者集區 IdPs進行身分驗證、將其宣告合併為常見的 OIDC 身分字符,以及交換該字符做為 AWS 登入資料。然後,您的使用者可以在已簽署的請求中向您的 AWS 服務顯示憑證。 您也可以將來自任何身分提供者 的已驗證宣告直接提交到您的身分池。Amazon Cognito 會將 SAML、OAuth 和 OIDC 提供者的使用者宣告自訂成一個 [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) API 請求作為短期憑證。 Amazon Cognito 使用者集區就像是已啟用 SSO 之應用程式的 OIDC 身分提供者。身分池充當任何資源依賴性具有 *AWS* 身分提供者,最適合與 IAM 授權搭配使用。 Amazon Cognito 身分集區支援下列身分提供者: + 公開提供者:[將 Login with Amazon 設定為身分集區 IdP](amazon.md)、[將 Facebook 設定為身分集區 IdP](facebook.md)、[將 Google 設定為身分集區 IdP](google.md)、[設定使用 Apple 登入做為身分集區 IdP](apple.md)、Twitter。 + [Amazon Cognito 使用者集區](cognito-user-pools.md) + [將 OIDC 供應商設定為身分集區 IdP](open-id.md) + [將 SAML 供應商設定為身分集區 IdP](saml-identity-provider.md) + [開發人員驗證的身分](developer-authenticated-identities.md) 如需 Amazon Cognito 身分集區區域可用性的相關資訊,請參閱 [AWS 服務區域可用性](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。 如需 Amazon Cognito 身分集區的詳細資訊,請參閱下列主題。 **Topics** + [身分集區主控台概觀](identity-pools.md) + [身分集區身分驗證流程](authentication-flow.md) + [IAM 角色](iam-roles.md) + [Amazon Cognito 身分集區的安全最佳實務](identity-pools-security-best-practices.md) + [使用屬性進行存取控制](attributes-for-access-control.md) + [使用以角色為基礎的存取控制](role-based-access-control.md) + [取得憑證](getting-credentials.md) + [AWS 服務 使用臨時登入資料存取](accessing-aws-services.md) + [身分集區第三方身分提供者](external-identity-providers.md) + [開發人員驗證的身分](developer-authenticated-identities.md) + [將未驗證的使用者切換至已驗證的使用者](switching-identities.md)