ความปลอดภัย การระบุตัวตน และการปฏิบัติตามข้อกำหนด›
Amazon Cognito›
ฟีเจอร์

คุณสมบัติของ Amazon Cognito

Amazon Cognito คืออะไร

Amazon Cognito ช่วยให้คุณสามารถเพิ่มการลงทะเบียนผู้ใช้ การลงชื่อเข้าใช้ การควบคุมการเข้าถึง และการเข้าถึงบริการ AWS ที่โบรกเกอร์มอบให้บนเว็บและแอปพลิเคชันมือถือของคุณได้ภายในไม่กี่นาที เป็นบริการที่เน้นไปที่นักพัฒนาและคุ้มต้นทุนซึ่งจัดให้มีที่เก็บข้อมูลระบุตัวตนที่ปลอดภัยตามผู้เช่าและตัวเลือกระบบเชื่อมโยงข้อมูลที่สามารถปรับขนาดให้รองรับผู้ใช้ได้หลายล้านคน Amazon Cognito ช่วยให้คุณสร้างประสบการณ์ลูกค้าที่มีแบรนด์ ปรับปรุงการรักษาความปลอดภัย และปรับตัวตามความต้องการของลูกค้าของคุณ ตัวอย่างเช่น รองรับการเข้าสู่ระบบด้วยผู้ให้บริการระบุตัวตนทางสังคมและการเข้าสู่ระบบโดยไม่ต้องใช้รหัสผ่านโดยใช้พาสคีย์ WebAuthn หรือรหัสผ่านแบบใช้ครั้งเดียวทาง SMS และอีเมล Amazon Cognito รองรับมาตรฐานการปฏิบัติตามข้อกำหนดต่าง ๆ ดำเนินการตามมาตรฐานการระบุตัวตนแบบเปิด และผสานรวมเข้ากับแคตตาล็อกทรัพยากรการพัฒนาและไลบรารี SDK ที่กว้างขวาง

การยืนยันตัวตนผู้ใช้

การเข้าสู่ระบบที่บริหารจัดการโดยแบรนด์แบบไม่ต้องใช้โค้ด

นักพัฒนาสามารถใช้โปรแกรมแก้ไขภาพแบบไม่ต้องใช้โค้ดเพื่อปรับหน้าจอผู้ใช้ปลายทาง (เช่น การลงทะเบียน การเข้าสู่ระบบ และ MFA) ให้ปรากฏขึ้น พารามิเตอร์การกำหนดค่า ได้แก่ สี ตำแหน่ง การจัดตำแหน่ง ข้อความ ภาษา พื้นหลัง รูปภาพ โลโก้ แบบอักษร และเค้าโครงเป็นต้น ด้วยตัวเลือกการกำหนดค่าเหล่านี้ การกำหนดสไตล์ของแบรนด์ผู้บริโภคจึงมีความใกล้เคียงกัน และประสบการณ์ของผู้ใช้ที่ Cognito มอบให้ก็สามารถสอดคล้องและเชื่อมโยงกับส่วนอื่น ๆ ของแอปพลิเคชันได้มากขึ้น

การยืนยันตัวตนแบบไม่ใช้รหัสผ่าน

ลูกค้าสามารถกำหนดค่า Amazon Cognito เพื่อให้ผู้ใช้ปลายทางเข้าถึงแอปพลิเคชันได้โดยไม่จำเป็นต้องจดจำรหัสผ่าน ซึ่งจะช่วยลดอุปสรรค ปรับปรุงการรักษาความปลอดภัย และเพิ่มการแปลงของผู้ใช้ ขั้นตอนการยืนยันตัวตนแบบไม่ใช้รหัสผ่านที่รองรับ ประกอบด้วย การลงชื่อเข้าใช้ด้วยอีเมล การลงชื่อเข้าใช้ด้วยโทรศัพท์/SMS และการลงชื่อเข้าใช้ด้วยพาสคีย์ ความยืดหยุ่นนี้ช่วยเพิ่มประสบการณ์ของผู้ใช้และลดความยุ่งยากในการเข้าสู่ระบบ

พาสคีย์ WebAuthn

พาสคีย์ WebAuthn ช่วยเพิ่มความปลอดภัยโดยการขจัดความจำเป็นในการใช้รหัสผ่าน ลดความเสี่ยงของการฟิชชิ่งและการขโมยข้อมูลประจำตัว โดยเสนอประสบการณ์ผู้ใช้ที่ราบรื่นด้วยวิธีการยืนยันตัวตนที่รวดเร็วและสะดวกยิ่งขึ้น เช่น ข้อมูลชีวภาพหรือโทเค็นฮาร์ดแวร์ นอกจากนี้ พาสคีย์ยังช่วยปรับปรุงความปลอดภัยบัญชีโดยรวมด้วยการใช้การเข้ารหัสด้วยกุญแจสาธารณะ ซึ่งรับประกันว่าข้อมูลที่ละเอียดอ่อนจะไม่ถูกส่งหรือจัดเก็บบนเซิร์ฟเวอร์ Amazon Cognito ให้ทั้ง [การเข้าสู่ระบบที่มีการจัดการ] และการสนับสนุน API สำหรับการสร้างและจัดเก็บพาสคีย์สูงสุด 20 รายการต่อบัญชี

การยืนยันตัวตนโดยใช้หลายปัจจัย (MFA)

คุณสามารถเพิ่มชั้นความปลอดภัยเพิ่มเติมสำหรับลูกค้าของคุณได้โดยการเปิดใช้งาน MFA สำหรับบัญชีผู้ใช้ ผู้ใช้สามารถยืนยันตัวตนได้โดยใช้อีเมล, SMS หรือตัวสร้างรหัสผ่านแบบใช้ครั้งเดียวที่อิงตามเวลา (TOTP) เช่น Google Authenticator Amazon Cognito ยังรองรับการกำหนดค่ากฎรหัสผ่านที่ต่างกันสำหรับกลุ่มผู้ใช้ที่ต่างกันอีกด้วย

ระบบเชื่อมโยงข้อมูล

ในฐานะฮับระบบเชื่อมโยงข้อมูล Amazon Cognito ช่วยให้ผู้ใช้สามารถเข้าสู่ระบบผ่านผู้ให้บริการข้อมูลประจำตัวโซเชียล เช่น Apple, Facebook, Google และ Amazon และผู้ให้บริการข้อมูลประจำตัวองค์กรผ่าน SAML และ OIDC Amazon Cognito รองรับโปรไฟล์ SAML ที่หลากหลาย รวมถึงโฟลว์ที่ริเริ่มจาก SAML SP, โฟลว์ที่ริเริ่มจาก IDP และการเข้ารหัส SAML) เมื่อผู้ใช้ของคุณเข้าสู่ระบบ Amazon Cognito (ผ่านการยืนยันตัวตนเฉพาะเครื่องหรือระบบเชื่อมโยงข้อมูลภายนอก) พวกเขาสามารถใช้ OAuth/OIDC เพื่อเข้าถึงทรัพยากรระบบเชื่อมโยงข้อมูลได้

การยืนยันตัวตนแบบกำหนดเอง

Amazon Cognito ช่วยให้คุณสามารถสร้างขั้นตอนการยืนยันตัวตนแบบกำหนดเองที่ใช้ฟังก์ชัน AWS Lambda เพื่อยืนยันตัวตนผู้ใช้ตามรอบการตอบสนองความท้าทายอย่างน้อยหนึ่งรอบได้ คุณสามารถใช้โฟลว์นี้เพื่อนำไปใช้กับรูปแบบการการยืนยันตัวตนตามความต้องการซึ่งอิงตามความท้าทายที่กำหนดเองหรือใช้ความท้าทายที่กำหนดเองเป็นปัจจัยเพิ่มเติม

การปรับแต่งเวิร์กโฟลว์ด้วยทริกเกอร์ Lambda

ใช้ทริกเกอร์ AWS Lambda เพื่อปรับแต่งการทำงานของ Cognito รวมถึงขั้นต่าง ๆ ในวงจรชีวิตของผู้ใช้ เช่น ก่อนและหลังการยืนยันตัวตนและการลงทะเบียนหรือก่อนการออกโทเค็น นอกจากนี้คุณยังสามารถใช้ทริกเกอร์ Lambda เพื่อปรับแต่งข้อความที่ส่งไปยังผู้ใช้ในขั้นต่าง ๆ หรือเพื่อผสานรวมกับผู้ให้บริการอีเมลและ SMS ที่เป็นบุคคลภายนอกได้อีกด้วย

การจัดการข้อมูลประจำตัว

การลงทะเบียนด้วยตนเอง

ส่วนใหญ่แล้ว ประสบการณ์แรกที่ลูกค้ามีต่อเว็บไซต์ของคุณก็คือกระบวนการลงทะเบียนด้วยตนเอง Amazon Cognito มีทั้งอินเทอร์เฟซผู้ใช้แบบที่ปรับแต่งได้และจัดแพ็คเกจไว้ล่วงหน้า ซึ่งจัดการการเข้าสู่ระบบเพื่อนำออกสู่ตลาดอย่างรวดเร็ว และชุด API ที่ทรงพลังสำหรับสร้างโซลูชันการลงทะเบียนด้วยตนเองที่กำหนดเองได้อย่างเต็มรูปแบบ ผู้ใช้สามารถลงทะเบียนโดยใช้อีเมล หมายเลขโทรศัพท์ หรือชื่อผู้ใช้สำหรับแอปพลิเคชันของคุณได้ กระบวนการลงทะเบียนด้วยตนเองช่วยให้ผู้ใช้สามารถดูและอัปเดตข้อมูลโปรไฟล์ของตน รวมถึงแอตทริบิวต์ที่กำหนดเองได้ ลดการโทรติดต่อศูนย์ช่วยเหลือด้วยตัวเลือกการบริการตนเอง เช่น การรีเซ็ตรหัสผ่านด้วยข้อความ SMS หรืออีเมล

ที่เก็บข้อมูลประจำตัวโดยอิงตามผู้เช่า (กลุ่มผู้ใช้)

Amazon Cognito ให้บริการที่เก็บข้อมูลประจำตัวโดยอิงตามผู้เช่า (กลุ่มผู้ใช้) ที่ปลอดภัยซึ่งมีปรับขนาดเพื่อรองรับผู้ใช้หลายล้านคน กลุ่มผู้ใช้จะจัดเก็บข้อมูลโปรไฟล์ผู้ใช้อย่างปลอดภัยสำหรับผู้ใช้ที่ลงทะเบียนโดยตรง และสำหรับผู้ใช้ที่มีข้อมูลเชื่อมโยงกับส่วนกลางที่ลงชื่อเข้าใช้ด้วยผู้ให้บริการข้อมูลประจำตัวภายนอก

พื้นที่เก็บข้อมูลประจำตัวของ Amazon Cognito เป็นคลังผู้ใช้ที่ใช้ API คลังและ API รองรับการจัดเก็บแอตทริบิวต์ที่กำหนดเองได้สูงสุด 50 รายการต่อผู้ใช้ รองรับประเภทข้อมูลที่แตกต่างกัน และมีการบังคับใช้ข้อจำกัดด้านความยาวและความไม่แน่นอน เลือกแอตทริบิวต์ที่ต้องการซึ่งผู้ใช้จะต้องจัดเตรียมไว้ก่อนที่กระบวนการลงทะเบียนจะเสร็จสิ้น

ตัวเลือกการโยกย้าย

ผู้ใช้สามารถโยกย้ายไปยัง Amazon Cognito ได้โดยใช้การนำเข้าเป็นชุดหรือการโยกย้ายแบบทันเวลาพอดี (JIT) การโยกย้ายผู้ใช้เป็นชุดจะใช้ประโยชน์จากกระบวนการนำเข้าไฟล์ CSV เมื่อใช้กระบวนการย้ายข้อมูล JIT ทริกเกอร์ AWS Lambda จะรวมกระบวนการย้ายข้อมูลเข้ากับเวิร์กโฟลว์การลงชื่อเข้าใช้และสามารถเก็บรหัสผ่านของผู้ใช้ได้

สิทธิ์การใช้งานหลายสิทธิ์และการแยกสิทธิ์การใช้งาน

Amazon Cognito ทำให้สามารถโต้ตอบแบบ B2B ได้ด้วยการรองรับสิทธิ์การใช้งานหลายสิทธิ์ คุณสามารถเลือกที่จะใช้ซ้ำการผสานรวมแอปพลิเคชัน นโยบายการเข้าถึงและรหัสผ่าน หรือบังคับใช้การแยกสิทธิ์การใช้งานโดยสมบูรณ์ได้

การควบคุมการเข้าถึง

การบูรณาการขั้นสุดท้ายกับแอปพลิเคชัน

Amazon Cognito ทำให้การบูรณาการขั้นสุดท้ายกับแอปพลิเคชันเป็นไปอย่างปลอดภัย AWS AppSync, Amazon Application Load Balancer (ALB) และเกตเวย์ของ Amazon API มีจุดบังคับใช้นโยบายในตัวที่ให้สิทธิ์เข้าถึงตามโทเค็นและขอบเขตของ Amazon Cognito

การมอบสิทธิ์แบบละเอียด

การใช้การเริ่มต้นใช้งานด่วนของสิทธิ์ที่ยืนยันโดย Amazon จะช่วยให้ลูกค้าสามารถสร้างนโยบายการให้สิทธิ์ได้โดยอัตโนมัติ กำหนดการควบคุมการเข้าถึงตามบทบาทตามการเป็นสมาชิกกลุ่ม Cognito และบังคับใช้การอนุญาตแบบละเอียด สิทธิ์ที่ยืนยันโดย Amazon มีตัวอนุญาตโทเค็นในตัวที่รองรับ Amazon Cognito ID และโทเค็นการเข้าถึง รวมถึงโครงสร้างโทเค็นในโทเค็นที่ซับซ้อน

เข้าถึงทรัพยากร AWS

โบรกเกอร์ข้อมูลประจำตัวสำหรับ Amazon Cognito หรือที่เรียกอีกอย่างหนึ่งว่า กลุ่มข้อมูลระบุตัวตน Amazon Cognito ให้การเข้าถึงทรัพยากร AWS แบบเข้าสู่ระบบครั้งเดียว เช่น Amazon DynamoDB, บัคเก็ต Amazon S3, ส่วนประกอบแบบไม่ต้องใช้เซิร์ฟเวอร์ AWS Lambda และบริการอื่น ๆ ของ Amazon ผู้ใช้สามารถจับคู่กับบทบาทต่างๆ โดยเปลี่ยนแปลงได้ตลอดเวลาเพื่อรองรับการให้สิทธิ์เข้าถึงบริการเท่าที่จำเป็น

การยืนยันตัวตนระดับเครื่องต่อเครื่อง

Amazon Cognito จะให้การยืนยันตัวตนระดับเครื่องต่อเครื่องโดยใช้ OAuth Client Credential Flow เพื่อสร้างความมั่นใจถึงประสบการณ์ที่ปลอดภัยระหว่างส่วนประกอบแอปพลิเคชัน

การปรับแต่ง ID / โทเค็นการเข้าถึง

เพิ่ม ID และ โทเค็นการเข้าถึงด้วยแอตทริบิวต์ที่กำหนดเองในรูปแบบของขอบเขต OAuth 2.0 และการอ้างสิทธิ์ คุณสามารถตัดสินใจให้สิทธิ์ขั้นสูงเฉพาะแอปพลิเคชันได้โดยใช้แอตทริบิวต์ที่กำหนดเองในโทเค็นการเข้าถึง คุณสมบัตินี้ยังช่วยให้คุณสามารถปรับแต่งประสบการณ์ผู้ใช้ปลายทางและปรับปรุงการมีส่วนร่วมของลูกค้าได้

ประสบการณ์ของลูกค้า

เข้าถึงลูกค้าได้มากขึ้น

ใช้วิธีการที่ขับเคลื่อนด้วยข้อมูลเพื่อหาลูกค้าและรักษาลูกค้าไว้ได้มากขึ้น เปิดตัวแคมเปญที่เข้าถึงลูกค้าได้มากขึ้นและติดตามการมีส่วนร่วมด้วย Amazon Pinpoint Amazon Pinpoint ให้การวิเคราะห์กิจกรรมผู้ใช้โดยอิงจาก Amazon Cognito ในขณะที่ Amazon Cognito ปรับปรุงคุณภาพของข้อมูลผู้ใช้สำหรับแคมเปญ Pinpoint

เพิ่มความคล่องตัวทางธุรกิจ

AWS Amplify เป็นชุดเครื่องมือและคุณสมบัติที่สร้างขึ้นมาตามวัตถุประสงค์เฉพาะที่ช่วยให้นักพัฒนาเว็บฟรอนต์เอนด์และมือถือสร้างแอปพลิเคชันสแต็กเต็มรูปแบบบน AWS ได้อย่างรวดเร็วและง่ายดาย พร้อมความยืดหยุ่นในการใช้ประโยชน์จากบริการต่างๆ ของ AWS เมื่อกรณีการใช้งานของคุณเพิ่มมากขึ้น Amplify ช่วยให้คุณสามารถกำหนดค่าแบ็คเอนด์เว็บแอปและแอปมือถือด้วย Amazon Cognito, เชื่อมต่อกับแอปของคุณได้ในเวลาไม่กี่นาที, สร้าง UI ฟรอนต์เอนด์ของเว็บให้เป็นภาพ และจัดการเนื้อหาแอปภายนอกคอนโซล AWS ได้อย่างง่ายดาย จัดส่งเร็วขึ้นและปรับขนาดได้อย่างง่ายดาย โดยไม่จำเป็นต้องมีความเชี่ยวชาญด้านระบบคลาวด์

ส่วนขยาย

โซลูชัน CIAM เป็นโซลูชันที่กำหนดเอง Amazon Cognito มี Hook และส่วนขยายที่แข็งแกร่งสำหรับปรับแต่งขั้นตอนการยืนยันตัวตน การลงทะเบียน และการย้ายผู้ใช้ได้อย่างเต็มรูปแบบ ตัวอย่างเช่น คุณสามารถเสริมขั้นตอนการลงทะเบียนด้วยตนเองด้วยการพิสูจน์ตัวตนที่กำหนดเองและการตรวจสอบการยืนยันบัญชี และสามารถขยายกระบวนการเข้าสู่ระบบเพื่อสร้างขั้นตอนการยืนยันตัวตนแบบกำหนดเองหรือแก้ไขโทเค็นก่อนที่จะสร้างได้

Amazon Cognito SDK สามารถใช้ได้โดยใช้ Java, C ++, PHP, Python, Golang, Ruby, .NET และ JavaScript

ความปลอดภัยขั้นสูง

การป้องกันช่องโหว่ของเว็บโดยใช้ AWS WAF

การผสานรวมในตัวกับ AWS Web Application Firewall (AWS WAF) ทำให้ Amazon Cognito สามารถเสนอคุณสมบัติการตรวจจับบอทขั้นสูงที่จะช่วยให้องค์กรของคุณประหยัดเงินที่ต้องชำระสำหรับบัญชีอัตโนมัติได้และลดผลกระทบจากการโจมตีของบอท

การป้องกันข้อมูลประจำตัวที่ถูกโจมตี

Amazon Cognito สามารถตรวจจับและป้องกันการนำข้อมูลประจำตัวที่ถูกโจมตีกลับมาใช้ซ้ำได้แบบเรียลไทม์ ในขณะที่ผู้ใช้ลงทะเบียน ลงชื่อเข้าใช้ หรือเปลี่ยนรหัสผ่าน เมื่อ Amazon Cognito ตรวจพบว่าผู้ใช้ได้ป้อนข้อมูลประจำตัวที่เคยถูกโจมตีที่อื่น ผู้ใช้จะได้รับแจ้งให้เปลี่ยนรหัสผ่าน

การยืนยันตัวตนแบบปรับได้ตามความเสี่ยง

ปกป้องบัญชีผู้ใช้ของคุณและปรับปรุงประสบการณ์การลงชื่อเข้าใช้ด้วยการยืนยันตัวตนแบบปรับได้ เมื่อ Amazon Cognito ตรวจพบกิจกรรมการลงชื่อเข้าใช้ที่ผิดปกติ เช่น ความพยายามลงชื่อเข้าใช้จากสถานที่และอุปกรณ์ใหม่หรือเงื่อนไขการเดินทางที่เป็นไปไม่ได้ตามตำแหน่งทางภูมิศาสตร์ IP ระบบจะกำหนดคะแนนความเสี่ยงให้กับกิจกรรมและให้คุณเลือกที่จะแจ้งให้ผู้ใช้ตรวจสอบเพิ่มเติมหรือบล็อกคำขอลงชื่อเข้าใช้

การตรวจสอบและการปฏิบัติตามข้อกำหนด

การบันทึกและการตรวจสอบ

Amazon Cognito รองรับการตรวจสอบด้วย AWS CloudTrail, ตัววัด Amazon CloudWatch และ Amazon CloudWatch Logs Insights CloudTrail ช่วยให้คุณสามารถบันทึกการเรียกใช้ API จากคอนโซล Amazon Cognito และจากการเรียกใช้โค้ดไปยังการดำเนินการ API ของ Amazon Cognito ได้ ตัววัด CloudWatch ช่วยให้คุณสามารถตรวจสอบ รายงาน และดำเนินการโดยอัตโนมัติได้ในแบบใกล้เคียงเรียลไทม์หากมีเหตุการณ์เกิดขึ้น CloudWatch Logs Insights ช่วยให้คุณสามารถกำหนดค่า CloudTrail เพื่อส่งเหตุการณ์ไปยัง CloudWatch สำหรับตรวจสอบไฟล์ข้อมูลบันทึก Amazon Cognito CloudTrail

การสตรีมข้อมูลบันทึก

Amazon Cognito นำเสนอการสร้างข้อมูลบันทึกขั้นสูงสำหรับเหตุการณ์ผู้ใช้ เช่น การลงชื่อเข้าใช้ การลงทะเบียน และการเปลี่ยนรหัสผ่าน โดยรวบรวมข้อมูลคำขอโดยละเอียด เช่น ระดับความเสี่ยง ที่ตั้ง IP ต้นทาง และเอเจนต์ผู้ใช้ ลูกค้าสามารถสตรีมข้อมูลบันทึกเหตุการณ์นี้ไปยัง Amazon CloudWatch, Amazon S3 หรือโซลูชันการรวมข้อมูลบันทึกของบุคคลที่สามผ่าน Amazon Kinesis Data Firehose สิ่งนี้ช่วยให้สามารถตรวจสอบและวิเคราะห์กิจกรรมของผู้ใช้ได้อย่างครอบคลุม

การปฏิบัติตามกฎข้อบังคับ

Amazon Cognito ปรับแนวทางให้สอดคล้องกับข้อกำหนดด้านความปลอดภัยและการปฏิบัติตามกฎข้อบังคับจำนวนมาก ซึ่งรวมถึงข้อกำหนดสำหรับองค์กรที่มีการควบคุมในระดับสูง เช่น บริษัทดูแลสุขภาพและผู้ค้า Amazon Cognito มีคุณสมบัติเหมาะสมตาม HIPAA และเป็นไปตามข้อกำหนด PCI DSS, SOC, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 และ ISO 9001

ขั้นตอนถัดไป

เรียนรู้เพิ่มเติมเกี่ยวกับราคาผลิตภัณฑ์

เรียนรู้เพิ่มเติม

ลงชื่อสมัครใช้งานบัญชีฟรี

สมัครใช้งาน

เริ่มต้นสร้างใน Console

ลงชื่อเข้าใช้