こんばんは、小寺です。あっという間に2024年になりましたね。
2023年の登壇回数とかブログ投稿回数等数えてみたかったのですが、ちょっとよく分からないまま仕事始めになりました。
今日はAmazon Cognito IDプールのアップデートについてお伝えします。
https://aws.amazon.com/about-aws/whats-new/2024/01/amazon-cognito-identity-pools-quota-management-aws-service-quotas/

Amazon Cognito ID プールとユーザプールについておさらい

Amazon Cognito活用されていますか。アップデート内容の前にCognito IDプールとユーザプールについて簡単に復習します。

ユーザプール

ユーザープールは「認証」と「ユーザー管理」の機能があります。アプリユーザーはユーザープールを通じたサインインや、GoogleやFacebook、Amazon、Appleなどのサードパーティーの連携ができます。
ユーザープールでソーシャルサインイン、および OpenID Connect (OIDC) と SAML IdP から返されるトークンの処理の管理も行うことができます。
フローとしては、正常に認証された際に、Amazon Cognito がアプリにユーザープールトークンを返します。返されたトークンを使って独自のサーバー側のリソース、または Amazon API Gatewayへのアクセス権をユーザーに付与できます。

利用シーンとしては、以下があげられます。
・アプリのサインアップとサインインのウェブページを構成
・アプリのカスタム認証
・ユーザーのデバイス、場所、IP アドレスモニタリングし、サインインのリクエストに応える

IDプール

IDプールでは認可 (アクセスコントロール) ができます。アイデンティティプールは、ロールベースと属性ベースのアクセス制御の両方を使用して、AWS リソースへのアクセスに対するユーザー権限を管理します。
ユーザーのために一意のアイデンティティを作成し、Amazon、Apple、Facebook、および Google などのパブリックなIDプロバイダーだけでなく、認証されていない ID もサポートします。

IDプールでは以下のIdPがサポートされています。

・Facebook、Google、Amazon。 AppleのようなソーシャルIdP
・Open ID Connectプロバイダー
・SAML IdP
・デベロッパーが認証したアイデンティティ

利用シーンとしては以下が挙げられます。
・Amazon Simple Storage Service (Amazon S3) バケットや Amazon DynamoDB テーブルなどの AWS リソースへのアクセスをユーザーに許可する
・承認がされていないAWS 認証情報を一時的に生成する

アップデート内容

Amazon Cognito IDプールでは、IDの作成と取得、およびIDプールのタグに使われるクォータを管理できるようになりました。
サービス クォータ コンソールからGetID や TagResource などのAPIのクォータを確認できるようになりました。ID プール API に適用されたサービス クォータ値の確認ができるようになり、フェデレーション実装時の改善が期待できそうですね。

実際にサービスクォータから確認してみました。サービス名としては「Amazon Cognito Federated Identities」で確認ができます。