認証を行う
ユーザプールのみで認証は可能だが、建てつけとしては、Cognito IDプールでIAM roleによる権限管理とか、AD、OpenIDなどによる外部IdP連携が本筋のような気がする

• SMS：送信にはAWS SNSを利用する
  • SMSの送信費用リミットが初期値1ドルですぐパンクするので注意
• TOTP
  • APIベースでの利用のみ。managerからは設定できない
  • 標準のログイン画面も対応してない

CroudTrailはAPIアクセスの記録しかしないため、アプリのLogin履歴などには利用できない。
Lambda関数からCloudWatchにLogを履くのが現実的かな

Amazon Cognito開発者ガイド

[Cognitoユーザープールのアカウント管理画面を作る](https://qiita.com/MasanoriMT/items/ce96318d62f5a0e34feb)

[インフラエンジニアが一切コードを書かずにWebサーバーに認証機能を実装した話](https://dev.classmethod.jp/cloud/alb-cognito-user-pool/)

[Cognitoの説明に使われている言葉を整理する](https://qiita.com/gki/items/f228e9b46fbb4a5d528c)