Amazon Cognito

1. サービス概要¶

Amazon Cognito は、Web アプリケーションやモバイルアプリケーションに、ユーザー認証、認可、およびユーザー管理機能を簡単に追加できるサービスである。
ユーザーは、独自のユーザープールを管理したり、Facebook、Google、Amazon などのソーシャル ID プロバイダーを通じてユーザーを認証できる。
Cognito は、認証プロセスの複雑さを軽減し、アプリケーションのセキュリティを向上させるための包括的なソリューションを提供する。

主なユースケースとして、

Web アプリケーションの認証・認可
モバイルアプリケーションの認証・認可
ソーシャルログイン
API のアクセス制御
ユーザーデータ管理

などが挙げられます。
Amazon Cognito は、これらのユースケースに対応するための様々な機能と、AWS の他のサービスとの統合を提供する。

2. 主な特徴と機能¶

2.1 ユーザープール¶

ユーザープールは、アプリケーションのユーザーディレクトリとして機能する。
ユーザーは、ユーザープールに登録し、認証情報を管理できる。

2.2 ID プール¶

ID プールは、アプリケーションのユーザーに、AWS リソースへのアクセス権限を付与するための機能を提供する。
ユーザーは、ID プールを通じて、一時的な AWS 認証情報を取得できる。

2.3 ソーシャルログイン¶

Facebook, Google, Amazon, Apple などのソーシャル ID プロバイダーを利用して、ユーザーを認証できる。
これにより、ユーザーは既存のアカウントでアプリケーションに簡単にログインできる。

2.4 多要素認証 (MFA)¶

SMS、TOTP などの多要素認証（MFA）をサポートし、セキュリティを強化できる。
これにより、ユーザーアカウントへの不正アクセスを防止できる。

2.5 カスタマイズ可能な UI¶

サインアップ、ログイン、パスワードリセットなどのユーザーインターフェースをカスタマイズできる。
これにより、アプリケーションのデザインに合わせた認証画面を作成できる。

2.6 ユーザーデータ管理¶

ユーザー属性、グループ、ロールなどのユーザーデータを管理できる。
API を通じて、ユーザーデータを取得したり、更新したりできる。

2.7 統合性と拡張性¶

Amazon Cognito は、API Gateway, Lambda, S3, DynamoDB などの AWS の他のサービスと密接に統合されています。
また、OAuth 2.0 や SAML 2.0 などの業界標準プロトコルをサポートしており、他のシステムとの連携も容易である。

3. アーキテクチャおよび技術要素¶

ユーザーは、アプリケーションから Cognito にサインアップまたはログインリクエストを送信。
Cognito は、ユーザーを認証し、ID トークンとアクセストークンを発行。
アプリケーションは、ID トークンとアクセストークンを使って、API や AWS リソースにアクセス。
必要に応じて、ID プールを利用して、AWS 認証情報を取得。
Cognito は、ユーザーデータを管理し、認証ステータスを維持。

Amazon Cognito は、AWS のインフラ上に構築されており、高い可用性とスケーラビリティを提供する。
認証やユーザー管理は AWS が行うため、ユーザーはインフラの管理を意識する必要はありません。

4. セキュリティと認証・認可¶

Amazon Cognito は、アプリケーションのセキュリティを確保するために、以下の機能を提供する:

ユーザー認証: パスワード、多要素認証 (MFA)、ソーシャルログインなど、様々な認証方式をサポート。
ID トークンとアクセストークン: JWT (JSON Web Token) を使用し、セキュアなトークンベース認証。
AWS リソースへのアクセス制御: ID プールを使用して、一時的な AWS 認証情報を付与し、リソースへのアクセスを制御。
データ保護: ユーザーデータは転送中および保存時に暗号化される。
アクセス制御: IAM ポリシーを通じて、Cognito へのアクセス権限を詳細に制御できる。

これらのセキュリティ対策により、アプリケーションへの不正アクセスを防止し、機密情報を保護できる。

5. 料金形態¶

Amazon Cognito の料金は主に以下に基づきます:

ユーザー数: ユーザープールに登録された月間のアクティブユーザー数に応じて課金。
認証: 認証の回数に応じて課金。
ID プール: ID プールを利用した場合の認証回数に応じて課金。
多要素認証 (MFA): MFA を利用した場合の SMS 送信などに応じて課金。

6. よくあるアーキテクチャ・設計パターン¶

Amazon Cognito は、様々なアプリケーションの認証と認可に利用できる。
一般的なパターンは以下の通りです:

Web アプリケーションの認証・認可: Web アプリケーションのユーザー認証、認可を Cognito で処理し、API Gateway と連携して API へのアクセスを制御。
モバイルアプリケーションの認証・認可: モバイルアプリケーションのユーザー認証、認可を Cognito で処理し、API バックエンドにアクセス。
ソーシャルログイン: Facebook、Google、Amazon などのソーシャル ID プロバイダーを利用し、ユーザーがアプリケーションに簡単にログインできるようにする。
API のアクセス制御: API Gateway と Cognito を連携し、API へのアクセスを認証・認可。
ユーザーデータ管理: ユーザーの属性、グループ、ロールなどを Cognito で一元管理。

7. 設定・デプロイ手順（ハンズオン例）¶

AWS マネジメントコンソールから Amazon Cognito を開き、ユーザープールを作成。
アプリケーションクライアントを作成し、クライアント ID、クライアントシークレットを生成。
ソーシャル ID プロバイダー（Facebook、Google など）を設定。
ID プールを作成し、ユーザープールと連携。
アプリケーションで、Cognito SDK を使って、ユーザー登録、ログイン機能を実装。
API Gateway と Cognito を連携して、API のアクセスを制御。

8. 試験で問われやすいポイント¶

8.1 ユーザープール¶

機能: アプリケーションのユーザーディレクトリとして機能。
利用: ユーザー登録、認証情報の管理。
試験対策: ユーザープールの役割、利用ケースが問われる。

8.2 ID プール¶

機能: AWS リソースへのアクセス権限を付与。
利用: 一時的な AWS 認証情報を取得。
試験対策: ID プールの役割、認証情報の取得方法が問われる。

8.3 ソーシャルログイン¶

対象: Facebook, Google, Amazon, Apple など。
利点: ユーザーは既存のアカウントで簡単にログイン可能。
試験対策: ソーシャルログインのメリット、設定方法が問われる。

8.4 多要素認証 (MFA)¶

種類: SMS, TOTP など。
目的: セキュリティを強化、不正アクセスを防止。
試験対策: MFA の設定方法、重要性が問われる。

8.5 料金体系¶

課金対象: 月間のアクティブユーザー数、認証回数、ID プールの利用、MFA など。
最適化: 不要な認証処理の削減、適切な MFA 設定がコスト削減に有効。
試験対策: 料金体系、課金対象が問われる。

8.6 類似・関連サービスとの比較¶

AWS IAM: AWS リソースへのアクセス制御に特化。Cognito はアプリケーションのユーザー認証と認可に特化。
AWS Secrets Manager: データベースの認証情報などを安全に管理。Cognito はユーザー認証に特化。

8.7 試験で頻出となる具体的な問われ方と答え¶

Q: Amazon Cognito は何を提供するサービスですか？
A: Web アプリケーションやモバイルアプリケーションに、ユーザー認証、認可、およびユーザー管理機能を追加できるサービスである。
Q: Amazon Cognito のユーザープールは何を管理するか？
A: アプリケーションのユーザーディレクトリとして機能し、ユーザーの認証情報を管理する。
Q: Amazon Cognito の ID プールは何に使用するか？
A: アプリケーションのユーザーに AWS リソースへのアクセス権限を付与するために使用する。
Q: Amazon Cognito でソーシャルログインを利用するには、どのような設定が必要であるか？
A: Facebook, Google, Amazon, Apple などのソーシャル ID プロバイダーを設定する必要がある。
Q: Amazon Cognito の料金はどのように計算されるか？
A: ユーザープールに登録された月間のアクティブユーザー数、認証の回数、ID プールの利用、MFA などに基づいて計算される。