kenGre Vlog

CognitoとVerified Permissionsの基本:認証と認可の違いを理解する

Cognito NO IMAGE

インターネットを介したアプリケーションやサービスを開発する際、セキュリティは避けて通れない重要な要素です。その中でも「認証(Authentication)」と「認可(Authorization)」は、システムを守るための基本的なコンセプトです。本記事では、AWSが提供するAmazon CognitoAWS Verified Permissionsを活用して、認証と認可を効果的に実現する方法を解説します。

1. 認証と認可の基本を押さえよう

認証(Authentication)とは?

認証は、システムがユーザーの「身元」を確認するプロセスです。たとえば、ログイン画面でメールアドレスとパスワードを入力する行為は、典型的な認証の一例です。
AWS Cognitoは、認証を簡単に実現できる強力なツールです。ユーザーの登録、ログイン、MFA(多要素認証)など、セキュリティを強化するための機能を標準で提供します。

認可(Authorization)とは?

認可は、認証されたユーザーが「何をして良いか」を制御するプロセスです。たとえば、会社の内部システムでは、管理者だけが特定の設定を変更できるようにするなどが認可の一例です。

AWS Verified Permissionsは、この認可を管理するためのサービスです。ポリシーベースのアクセス制御を実現し、リソースや操作に対する細粒度なアクセス権を付与できます。ちなみにCognitoでもIdentity Poolという機能を使えば、簡単な認可機能を実装できます。

認証と認可の違い

認証と認可の違いをわかりやすく説明する例として、空港での手続きを考えてみましょう。

  • 認証:パスポートを提示して「あなたが誰であるか」を確認する行為。
  • 認可:ビザを確認して「この国に入国して良いか」を判断する行為。

認証は「身元確認」、認可は「権限確認」と覚えると理解しやすいです。

2. AWS Cognitoの役割とその仕組み

Cognito User PoolとIdentity Poolの違い

AWS Cognitoは、User PoolIdentity Poolの2つの主要なコンポーネントを提供します。

  • User Pool: ユーザー認証を管理するための機能(サインイン、サインアップ、MFAなど)。
  • Identity Pool: 認証済みのユーザーにAWSリソース(例: S3やDynamoDB)へのアクセス権を付与する(つまり認可する)機能。

たとえば、Webアプリケーションでユーザーがログインした後に特定のS3バケットにアクセスする場合、User Poolで認証し、Identity Poolでリソースアクセス権を管理する形になります。

Cognitoの認証フロー

Cognitoは、業界標準の認証プロトコル(OIDC、OAuth 2.0、SAMLなど)をサポートしており、幅広いアプリケーションと簡単に統合できます。また、ソーシャルログイン(Google、Facebook、Apple)も対応可能で、ユーザーエクスペリエンスを向上させることができます。

3. Verified Permissionsの仕組みとユースケース

Verified Permissionsの基本構造

Verified Permissionsは、ポリシーベースのアクセス制御(PBAC)を実現するAWSのサービスです。ポリシーをJSON形式で記述し、リソースやアクションごとに柔軟なアクセス制御を構築できます。
たとえば、以下のようなポリシーを作成できます:

  • 特定のユーザーにのみデータを閲覧可能にする。
  • チームメンバー全員に同じプロジェクトリソースへのアクセスを許可する。

ユースケース

  • RBAC(ロールベースアクセス制御)
    例: 「管理者」ロールのユーザーだけがデータを編集可能。
  • ABAC(属性ベースアクセス制御)
    例: 「特定のプロジェクトに所属するユーザー」のみアクセスを許可。

Verified Permissionsは、複雑なアクセス要件を簡潔に表現できるため、特に大規模なシステムで威力を発揮します。

4. CognitoとVerified Permissionsの連携でセキュアなシステムを構築

認証から認可までの流れ

  1. Cognitoで認証
    • ユーザーがCognito User Poolを通じてログインし、認証用トークンが発行されます。
  2. Verified Permissionsで認可
    • Cognitoによって発行された認証トークンを使用して、Verified Permissionsのポリシーに基づいたアクセス制御を適用します。

具体的な実装例

  1. Cognitoでユーザーを認証してJWTトークンを取得。
  2. Verified PermissionsのAPIを呼び出し、ポリシーに基づいてリクエストを承認または拒否。
  3. ポリシー例: 「プロジェクトID = 1234 のリソースには、プロジェクトメンバーのみアクセス可能」

連携の利点

  • 認証と認可が分離されることで、システム全体の柔軟性が向上。
  • 認証にはCognito、認可にはVerified Permissionsを使うことで、それぞれのサービスの強みを活かせる。

まとめ: 認証と認可を適切に使い分ける重要性

認証と認可はどちらも重要ですが、それぞれが異なる役割を持ちます。本記事を通じて、AWSのCognitoとVerified Permissionsを組み合わせることで、安全で柔軟なシステムを構築する方法を理解していただけたと思います。実装例や個々の詳しいトピックについても今後執筆していきたいと思います。

これらのツールを活用して、セキュリティを向上させる設計をぜひ試してみてください。