====== cognito ======

===== ユーザプール =====

認証を行う\\
ユーザプールのみで認証は可能だが、建てつけとしては、Cognito IDプールでIAM roleによる権限管理とか、AD、OpenIDなどによる外部IdP連携が本筋のような気がする
==== MFA（多要素認証） ====

  * SMS：送信にはAWS SNSを利用する
    * SMSの送信費用リミットが初期値1ドルですぐパンクするので注意
  * TOTP
    * APIベースでの利用のみ。managerからは設定できない
    * 標準のログイン画面も対応してない

==== LOG ====
CroudTrailはAPIアクセスの記録しかしないため、アプリのLogin履歴などには利用できない。\\
Lambda関数からCloudWatchにLogを履くのが現実的かな

===== 参考 =====

[[https://docs.aws.amazon.com/ja_jp/cognito/latest/developerguide/cognito-dg.pdf|Amazon Cognito開発者ガイド]]

[Cognitoユーザープールのアカウント管理画面を作る](https://qiita.com/MasanoriMT/items/ce96318d62f5a0e34feb)

[インフラエンジニアが一切コードを書かずにWebサーバーに認証機能を実装した話](https://dev.classmethod.jp/cloud/alb-cognito-user-pool/)

[Cognitoの説明に使われている言葉を整理する](https://qiita.com/gki/items/f228e9b46fbb4a5d528c)