Cognito CUP CIP

Question 1

Какова главная цель Cognito User Pools?
С какими сервисами он интегрирован?

Answer 1

“sign in” фича для пользователей в приложении
интегрировано с API Gateway и ALB

Question 2

В чём идейная разница между IAM и Cognito?

Answer 2

• IAM - для разработчиков, dev-ops’ов выделяются отдельные аккаунты в IAM
• Cognito - сотни пользователей нашего Web/Mobile приложения, авторизация через SAML, OIDC, соц сети

Question 3

Что хранит сервис CUP?

Answer 3

Serverless базу данных для своих web/mobile пользователей.

Question 4

В конфигурации сервиса CUP можно настроить фичи

Answer 4

• username + password = JWT token (в котором IAM policies; base64, payload, sig, header)
• pre-defined login/registration UI страничка
• reset password
• email / phone verification
• multi-factor authentication MFA
• federated identities
• блокировка пользователей, если их credentials скомпрометированы (AWS умеет сканировать)
• прямо в сервисе можно просмотреть список зарегистрированных пользователей

Question 5

Что такое Lambda Trigger в CUP?
Для чего она может быть нужна?
Как она будет выполняться?

Answer 5

Можно указать Лямбда функцию, тригером которой будет событие
(вход пользователя, регистрация пользователя)

• Так можно дополнительно провалидировать пользователя перед входом
• или отправить ему welcome message после входа
• или изменить токен
• или залогировать событие

Question 6

Что такое Hosted Authentication UI?
Как внедрить его в свой сайт, чтобы было своё доменное имя?

Answer 6

Это pre-defined login/registration UI страничка.
Её можно немного кастомизировать, загрузив свой CSS и логотип.

Чтобы использовать свой DNS доменный адрес для этой странички, то придётся
создать SSL сертификат в ACM (Amazon Certificate Manager)
и хранить сертификат именно в us-east-1

Question 7

Что такое Adaptive Authentication?
Как он происходит?

Answer 7

Это возможность заблокировать подозрительный (suspicious) LogIn - и заставить пользователя использовать MFA или SMS верификацию.

Cognito сам оценивает каждый LogIn (вход) и выставляет оценку по шкале риска.
Например, при входе с незнакомого устройства.

Question 8

Зачем и какими способами можно реализовать authentication в ALB? Какие способы связаны с CUP?
Какую под-технологию использует ALB, чтобы это сделать?

Answer 8

ALB освобождает back-end приложение от обязанности выполнять Authentication.

ALB может реализовать Auth через
- Без CUP - черзе Identity Provider (IdP), который совместим с OpenID Connect (OIDC)
- Cognito User Pools (federated users, SAML, Microsoft AD)

В обоих случаях ALB должен использовать HTTPS listener Rules
Listener слушает HTTPS-443 запросы и выполняет 2 действия:
1. Authentication
2. Forward to

Question 9

Какова главная цель Cognito Identity Pool?
С какими сервисами он интегрирован?

Answer 9

выдача temporary AWS credentials пользователям для доступа к AWS ресурсам
в качестве identity provider’а (Identity Source’а) может использовать Cognito User Pools

Question 10

Что такое Identity Source для CIP?
Какие они бывают?

Answer 10

• Cognito User Pools
• Public Providers (login with Amazon, Facebook, Google, Apple)
• OpenID Connect (OIDC), SAML провайдеры
• Кастомный логин сервер, сделанный разработчиком

Unauthenticated Access - это дополнительный вид пользователей, который можно сделать через Guest Policy.

Question 11

На чём основываются IAM Roles в Cognito?
Как они объявлены?

Answer 11

На user_id
Используются Policy Variables
часть Policy Statement’а объявлена через ${} placeholder

Question 12

CUP или CIP?
Авторизация (user шлёт JWT, а получает temporary AWS credentials)

Answer 12

CIP

Question 13

CUP или CIP?
Мапинг User ID на IAM Role через policy variables

Answer 13

CIP

Question 14

CUP или CIP?
Можно сгенерировать и кастомизировать Hosted UI

Answer 14

CUP

Question 15

CUP или CIP?
Можно настроить Adaptive Authentication, MFA, password reset

Answer 15

CUP

Question 16

CUP или CIP?
Можно настроить Лямбда Trigger

Answer 16

CUP

Question 17

CUP или CIP?
База данных с user’ами для Web / Mobile clients

Answer 17

CUP

Question 18

CUP или CIP?
- Можно поддерживать НЕ авторизованных гостей

Answer 18

CIP

Question 19

CUP или CIP?
Аутентификация (user шлёт username-password, а получает JWT)

Answer 19

CUP

Question 20

CUP или CIP?
Можно настроить federated вход через соц. сети или OIDC, SAML

Answer 20

CUP

Question 21

CUP или CIP?
- Identity Source может быть CUP, или OIDC, SAML, Public Providers (напрямую)

Answer 21

CIP

Question 22

Что использует CIP для выдачи прав доступа юзерам?

Answer 22

CIP использует STS сервис для генерации temporary AWS credentials

Question 23

Как пользователи пошагово взаимодействуют с CUP и CIP?
Что они дают на каждом шаге? А что получают?

Answer 23

1. Пользователи шлют запрос (со своими login-password) в CUP
   
   • в ответ получают JWT токен
2. Пользователи шлют запрос (со своим JWT токеном) в CIP
   
   • в ответ получают temporary AWS credentials

Question 24

You have a photo-sharing application where you want your users to log in with Twitter. Users should also have permission to directly access their own data in the Users DynamoDB table and access their own photos in an S3 bucket that contains photos for all users. Which of the following you can use?

Answer 24

Cognito Identity Pools

CUP НЕ нужен, т.к. вход через соц сети можно сделать и в CIP’е

Question 25

You would like to authenticate your users against Facebook before they are able to make requests to your API hosted by API Gateway. What should you use to make a seamless authentication integration?

Answer 25

CUP Ключевые слова - API Gateway - authentication Facebook

Question 26

You have an application that uses Cognito User Pools to authenticate its users. There's a requirement to log every successful login into Cognito in an RDS DB instance to keep website & users' activity for further analysis. What should you do?

Answer 26

Post-authentication Lambda Trigger

Question 27

You can customize the following in the Cognito Hosted UI, EXCEPT JS CSS Logo URL

Answer 27

JS