Presentation Title Here

Transcription

1 AWS Black Belt Online Seminar Amazon Cognito Add user sign-up, sign-in, and data synchronization to your apps Amazon Web Services Japan K.K. Solutions Architect Akihiro Tsukada

2 Akihiro Tsukada Start-up Mobile Serverless Blockchain 2

3 AWS Black Belt Online Seminar とは AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです 火曜 12:00~13:00 主にAWSのソリューションや 業界カットでの使いどころなどを紹介 (例 IoT 金融業界向け etc.) 水曜 18:00~19:00 主にAWSサービスの紹介や アップデートの解説 (例 EC2 RDS Lambda etc.) 開催曜日と時間帯は変更となる場合がございます 最新の情報は下記をご確認下さい オンラインセミナーのスケジュール&申し込みサイト 3

4 オンラインセミナー資料の配置場所 AWS クラウドサービス活用資料集 AWS Solutions Architect ブログ 最新の情報 セミナー中のQ&A等が掲載されています 4

5 内容についての注意点 本資料では 2017 年 5 月 17 日時点のサービス内容および価格についてご説明しています 最新の情報は AWS 公式ウェブサイト ( にてご確認ください 資料作成には十分注意しておりますが 資料内の価格と AWS 公式ウェブサイト記載の価格に相違があった場合 AWS 公式ウェブサイトの価格を優先とさせていただきます 価格は税抜表記となっています 日本居住者のお客様が東京リージョンを使用する場合 別途消費税をご請求させていただきます AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided. 5

6 アジェンダ AWSのモバイルサービス Amazon Cognito 概論 Cognito Identity Your User Pools Federated Identities Cognito Sync 料金体系 6

7 7 AWS のモバイルサービス

8 AWSのモバイルサービス ユーザ認証 アクセス認可 Amazon Cognito (Identity) メディアの管理 データの同期 Amazon Cognito (Sync) ログストリーム Amazon Kinesis ユーザ行動分析 Amazon Pinpoint AWS Mobile Hub モバイル アプリ Amazon Mobile Analytics ビジネスロジックの実行 AWS Lambda RESTful APIサーバ 8 Amazon API Gateway AWS Mobile SDK Amazon S3 Transfer Manager メディアの配信 Amazon CloudFront (Device Detection) プッシュ通知の送信 Amazon SNS Mobile Push Amazon Pinpoint チャットボット Amazon Lex 共有データの保存 Amazon DynamoDB 実機テストの並列実行 AWS DeviceFarm

9 サポートするモバイル開発プラットフォーム 全てのサービスに共通の認証機構 オンライン オフラインを自動でハンドリング クロスプラットフォームのサポート : Android, ios, Fire OS, Unity, Xamarin, React Native(Dev Preview) Mobile OS への最適化 例 : ローカルオフラインキャッシュを利用するアーキテクチャ メモリフットプリントの削減 各プラットフォームのエンハンスに追従 9

10 グローバルなお客様利用事例 AWS Lambda API Gateway Amazon Cognito AWS Device Farm Amazon SNS Simple Service 10

11 11 Amazon Cognito 概論

12 Amazon Cognito の構成要素 Cognito Identity Cognito Sync Your User Pools マネージドな数億ユーザまでス ケールするセキュアなユーザー 管理サービス サインアップ サインイン サインアウト = 認証を担当 MFA オプション パスワードポ リシー ユーザのグルーピング 認証フローのカスタマイズなどをサポート Federated Identities AWS リソースアクセス用の Temporary Credentials を払い出す = 認可を担当 認証は外部 Identity Provider 等に移譲 未認証ユーザに Unauth Identity としてゲスト用権限を払い出すことも可能 一人の人間が持つ複数の Identity Provider のアカウント情報を Identity としてまとめる (=Federation) Federated Identities の Identity が持つ複数デバイス間でデータの同期を担当 Identity をまたいだデータ共有ではない オフラインサポート コンフリクト解決ロジックのカスタマイズサポート データ同期実行時に Push Sync Cognito Streams Cognito Events などの処理を連動させることも可能 12

13 Cognitoが解決する課題の例 モバイル Webアプリでユーザ認証を簡単に実装したい Your User Pools FacebookやTwitter等でログイン可能にしたい Federated Identities 認証されたユーザや管理者ユーザ限定のコンテンツを配信したい Your User Pools, Federated Identities スケーラブルなAWSの各サービスをモバイルのバックエンドとして使いたいが AccessKey等の認証情報をアプリにハードコーディングしたくない Federated Identities 一人複数デバイスの利用をサポートしてUXを向上させたい Federated Identities, Cognito Sync 13

14 14 Cognito を利用したアプリのシミュレーション

15 完成図 IAM Cognito Your User Pools role AWS STS User Pool n Group n User Pool 1 User Pool 2 Temporary Credential Temporary Credential Identity Pool 1 Local Storage User Pools アカウントA Identity A Dataset1 {key1: val1 } Cognito Sync Dataset1 {key1: val1 } Token Dataset1 { key1: val1, key2: val2... } Logins SAML Amazon アカウントA 対応Identity Provider この他 独自認証 15 サーバも利用可 所有 操作 Temporary Credential ユーザとデバイス Token Validation Cognito Federated Identities Amazon SNS Amazon Kinesis AWS Lambda

16 Cognitoを利用したアプリのシミュレーション 完成図 IAM Cognito Your User Pools 想定する要件 1. User 2. Pool 1 role AWS STS User Pool n Temporary ユーザは複数プラットフォーム モバイルアプリとWebブラウザ からサービスを利用 Credential Group n ユーザはCognito Your User Temporary Credential PoolsとAmazonアカウントでサービスを利用 Identity Pool 1 3. ゲストユーザ 未認証 アクセスはナシ Local Storage User 4. Pool 2 Identity A User PoolsYour User Poolsの特定グループに属するユーザは一般ユーザと別権限を持つ Cognito Amazon {key1: val1 } Cognito Sync Dataset1 アカウントA SNS シミュレーションの大まかな流れ 2. Dataset1 { key1: val1, User PoolとIdentity Poolの作成 key2: val2... Dataset1 Token {key1: val1 } } 複数デバイスからUser PoolとAmazonにサインアップ サインイン 3. Logins サインインして得たTokenをCognito Federated Identityに渡して検証 4. Tokenに問題なければCognitoはTemporary Credentialsをデバイスに返却 Amazon 5. デバイスはCredentialsを使って直接AWSリソースにアクセス 1. SAML アカウントA 所有 操作 Temporary Credential Amazon Kinesis AWS Lambda ユーザとデバイス Cognito 対応Identity Provider 6. モバイルでCognito Syncに同期したデータはWebブラウザのローカルにも反映される Federated Identities この他 独自認証 16 サーバも利用可 Token Validation

17 ユーザはモバイルアプリと Web ブラウザを利用 所有 操作 ユーザとデバイス 17

18 このアプリで使う User Pool と Group を作成 Group に IAM Role を紐付け IAM Cognito Your User Pools User Pool 1 User Pool 2 User Pool n Group n role SAML 所有 操作 対応 Identity Provider ユーザとデバイス 18

19 Identity Pool を作成し IAM Role と IdP を Identity Pool に紐付け IAM Cognito Your User Pools User Pool 1 User Pool 2 User Pool n Group n role Identity Pool 1 Logins SAML 19 対応 Identity Provider 所有 操作 ユーザとデバイス Cognito Federated Identities

20 20 サインアップ サインイン AWS Credentials の取得

21 IAM Cognito Your User Pools User Pool 1 User Pool 2 User Pool n Group n role Identity Pool 1 Logins SAML 21 対応 Identity Provider 所有 操作 ユーザとデバイス Cognito Federated Identities

22 各デバイスから各アカウントにサインアップ & イン Cognito Your User Pools IAM role User Pool n Group n User Pool 1 User Pool 2 Identity Pool 1 User Pools アカウントA Logins SAML Amazon アカウントA 対応Identity Provider 22 所有 操作 ユーザとデバイス Cognito Federated Identities

23 各IdPから返されたTokenをFederated Identityに渡す Cognito Your User Pools IAM role User Pool n Group n User Pool 1 User Pool 2 Identity Pool 1 User Pools アカウントA Token Logins SAML Amazon アカウントA 対応Identity Provider 23 所有 操作 ユーザとデバイス Cognito Federated Identities

24 Federated Identityは該当IdPにアクセスしTokenを検証 Cognito Your User Pools IAM role User Pool n Group n User Pool 1 User Pool 2 Identity Pool 1 User Pools アカウントA Token Logins SAML Amazon アカウントA 対応Identity Provider 24 所有 操作 ユーザとデバイス Token Validation Cognito Federated Identities

25 検証成功すれば Identity Pool内にIdentityを作成し LoginsとしてIdPおよびTokenをIdentityに紐付け Cognito Your User Pools IAM role User Pool n Group n User Pool 1 User Pool 2 Identity Pool 1 Identity A User Pools アカウントA Token Logins SAML Amazon アカウントA 対応Identity Provider 25 所有 操作 ユーザとデバイス Token Validation Cognito Federated Identities

26 Federated IdentityはAWS IAM STS から Roleに基づいたTemporary Credentialsを取得 IAM Cognito Your User Pools role AWS STS User Pool n User Pool 1 User Pool 2 Temporary Credential Group n Identity Pool 1 Identity A User Pools アカウントA Token Logins SAML Amazon アカウントA 対応Identity Provider 26 所有 操作 ユーザとデバイス Token Validation Cognito Federated Identities

27 Federated Identityはクライアントデバイスに Temporary Credentialsを渡す IAM Cognito Your User Pools role AWS STS User Pool n User Pool 1 User Pool 2 Temporary Credential Group n Identity Pool 1 Identity A User Pools アカウントA Token Logins SAML Amazon アカウントA 対応Identity Provider 27 所有 操作 Temporary Credential ユーザとデバイス Token Validation Cognito Federated Identities

28 デバイスはCredentialsを使ってAWSリソースにアクセス Cognito Your User Pools IAM role AWS STS User Pool n Group n User Pool 1 User Pool 2 Temporary Credential Temporary Credential Identity Pool 1 Identity A User Pools アカウントA Token Logins SAML Amazon アカウントA 対応Identity Provider 28 所有 操作 Temporary Credential ユーザとデバイス Token Validation Cognito Federated Identities

29 29 複数デバイス間でのデータ同期とフック処理

30 IAM Cognito Your User Pools role AWS STS User Pool n Group n User Pool 1 User Pool 2 Temporary Credential Temporary Credential Identity Pool 1 Identity A User Pools アカウントA Token Logins SAML Amazon アカウントA 対応Identity Provider 30 所有 操作 Temporary Credential ユーザとデバイス Token Validation Cognito Federated Identities

31 モバイルデバイスでローカルストレージにデータを 保存し同期処理実行 IAM Cognito Your User Pools role AWS STS User Pool n Group n User Pool 1 User Pool 2 Temporary Credential Temporary Credential Identity Pool 1 Local Storage User Pools アカウントA Identity A Dataset1 {key1: val1 } Cognito Sync Token Dataset1 { key1: val1, key2: val2... } Logins SAML Amazon アカウントA 対応Identity Provider 31 所有 操作 Temporary Credential ユーザとデバイス Token Validation Cognito Federated Identities

32 Webブラウザで同期処理を実行するとモバイルデバイスで の変更がWebブラウザのローカルに反映される Cognito Your User Pools IAM role AWS STS User Pool n Group n User Pool 1 User Pool 2 Temporary Credential Temporary Credential Identity Pool 1 Local Storage User Pools アカウントA Identity A Dataset1 {key1: val1 } Cognito Sync Dataset1 {key1: val1 } Token Dataset1 { key1: val1, key2: val2... } Logins SAML Amazon アカウントA 対応Identity Provider 32 所有 操作 Temporary Credential ユーザとデバイス Token Validation Cognito Federated Identities

33 同期処理実行時 Cognito Syncは設定された フック処理 SNS, Kinesis, Lambda があれば起動する Cognito Your User Pools IAM role AWS STS User Pool n Group n User Pool 1 User Pool 2 Temporary Credential Temporary Credential Identity Pool 1 Local Storage User Pools アカウントA Identity A Dataset1 {key1: val1 } Cognito Sync Dataset1 {key1: val1 } Token Dataset1 { key1: val1, key2: val2... } Logins SAML Amazon アカウントA 対応Identity Provider 33 所有 操作 Temporary Credential ユーザとデバイス Token Validation Cognito Federated Identities Amazon SNS Amazon Kinesis AWS Lambda

34 アジェンダ AWSのモバイルサービス Amazon Cognito 概論 Cognito Identity Your User Pools Federated Identities Cognito Sync 料金体系 34

35 35 Cognito Identity

36 Cognito Identity Sign in Username Password Submit Or Start as a guest Sign in with SAML Facebook Corporate ID Etc. Your User Pools モバイルや Web アプリに 簡単かつセキュアにサインアップとサインインの機能を追加可能数億ユーザのスケールをサポートするフルマネージドサービス Federated Identities Facebook などのソーシャルアカウントや SAML プロバイダといったサードパーティのアイデンティティプロバイダでサインイン AWS リソースへのアクセス権の管理 36

37 Sign in Your User Pools Username Password Submit Or Start as a guest 37

38 Your User Pools サーバレスの認証と ユーザ管理 マネージドな ユーザディレクトリ 拡張された セキュリティ機能 サーバについて心配することな く モバイルやWebアプリにサ インアップ サインイン機能を 簡単に追加 38 シンプル セキュア 低コスト かつフルマネージドなサービス による 数億ユーザまでスケー ルするユーザディレクトリの作 成と維持 電話番号や アドレスの検 証と多要素認証の提供

39 User Pool に対するユーザの操作 ユーザのサインアップとサインイン 電話番号もしくはユーザ名とパスワードを使用したサインアップサインアップ後のサインイン ユーザプロファイル カスタム属性を含むユーザプロファイルの取得と更新 パスワード紛失 トークンベースの認証 もしくは電話番号による確認 SMS ベースの MFA パスワードを紛失した場合にユーザは自分自身でパスワード変更可能 OpenID Connect (OIDC) と OAuth2.0 の標準をベースとした JSON Web Tokens (JWT) を利用 アカウントを確認するための アドレスや電話番号の検証 有効にすると サインアップ パスワード紛失におけるフローの一環として SMS を通じた確認コードによる多要素認証 (MFA) を利用可能 AWS Lambda を利用した認証フローのカスタマイズ 39

40 Lambda フックを用いたフローのカスタマイズ カテゴリフックシナリオ例 40 Authentication Events Sign-Up Messages Custom Authentication Flow Pre Authentication Post Authentication Pre Sign-up Post Confirmation Custom Message Define Auth Challenge Create Auth Challenge Verify Auth Challenge Response サインインリクエストを許可もしくは拒否するカスタムバリデーション 分析のためにイベントログを記録 サインアップリクエストを許可もしくは拒否するカスタムバリデーション Welcome メッセージのカスタマイズや分析用にイベントログを記録 メッセージの高度なカスタマイズとローカライゼーション ( メッセージの日本語可もこれを利用して可能 ) カスタム認証フロー内で次のチャレンジを決定 カスタム認証フロー内でチャレンジの作成 カスタム認証フロー内でレスポンスが正しいか決定

41 カスタム認証フロー Your User Pools 2 5 Custom Authentication Challenges (e.g., CAPTCHA, passworldless auth, custom 2 nd factors) 41

42 User Pool に対する管理者の操作 ユーザプールの作成と管理 AWS アカウント内に複数のユーザプールを作成 構成 削除可能 属性の定義 ユーザプロファイル用のカスタム属性 必須属性データの要求 アプリのパーミッション パスワードポリシーのセットアップ ユーザの検索 ユーザの管理 サインアッププロセスの完了前にユーザによって提供される必要がある属性の選択 アプリ単位での各ユーザ属性に対する Read/Write パーミッションの設定 最小文字数 / 大文字 / 特殊文字を含めるといったパスワード要件のコントロール コンソールもしくは AdminAPI を通じた属性に完全一致もしくは前方一致ベースのユーザ検索 ユーザーパスワードのリセット ユーザーの確認 MFA の有効化 ユーザーの削除 グローバルサインアウトといった管理操作 42

43 デバイスの記憶 1 サインインごとに2要素のチャレン ジを完了させる必要があるとき ユーザが直面する手間を軽減す るにはどうするべきか 2 特定のビジネス要件を達成する ためにユーザーとデバイスを関 連付けるロジックを構築するには どうするべきか Ex) あるユーザの持つ全デバイスを 強制サインアウトさせるには 43 ユーザに関連づいたデバイスを Cognitoが記憶し 操作APIを提供

44 既存のユーザ管理からの移行 - インポートパターン csvファイルをアップロードすることによる User Poolへのユーザのインポート パスワードはインポート不可能のため 初回 サインインの際 ユーザは新規パスワードを 作成 インポートされる各ユーザは アドレス もしくは電話番号を保有する必要がある 正しいファイル形式はコマンドで確認可能 $ aws cognito-idp get-csv-header --user-pool-id "USER_POOL_ID" {"CSVHeader":["name","given_name","family_name","middle_name","nickname", "preferred_username","profile","picture","website"," "," _verifie d","gender","birthdate","zoneinfo","locale","phone_number","phone_number_ verified","address","updated_at","cognito:mfa_enabled","cognito:username" ], "UserPoolId": "ap-northeast-1_fplqqjsoc"} 44

45 既存のユーザ管理からの移行 - 既存処理をフックするパターン 1. Your User Pools でのログインを試行 2. UserNotFoundException であれば ユーザ名とパスワードを保持しながら既存システムでのログインを試行 3. 既存システムでのログインが成功したら User Pool にユーザを作る Amazon Cognito 3User NotFound 2username, password で引当 6username, passwordk でサインアップ 4username, password 1username, password 既存ログインサーバ 5 ログイン成功 45

46 Your User Poolsの実装イメージ JavaScript in the Browserの場合 SDKのロード <script src="/path/to/aws-cognito-sdk.min.js"></script> <script src="/path/to/amazon-cognito-identity.min.js"></script> <!-- optional: only if you use other AWS services --> <script src="/path/to/aws-sdk js"></script> サインアップ 検証コード確認 サインイン let pooldata = {UserPoolId : '...', ClientId : '...'}; let userpool = new AWSCognito.CognitoIdentityServiceProvider.CognitoUserPool(poolData); userpool.signup(username, password, attributes, validationdata, function(err, result){}); let cognitouser = new AWSCognito.CognitoIdentityServiceProvider.CognitoUser({ Username: username, Pool: createuserpoolobj()}); cognitouser.confirmregistration(verificationcode, forcealiascreation,(err, result)=>{}); let authenticationdata = { ,password: password}; let authenticationdetails = new AWSCognito.CognitoIdentityServiceProvider.AuthenticationDetails(authenticationData); let cognitouser = new AWSCognito.CognitoIdentityServiceProvider.CognitoUser(userData); cognitouser.authenticateuser(authenticationdetails, {onsuccess: (result)=>{}}); 46

47 Amazon API Gateway とのインテグレーション 1 2 カスタムオーソライザー OAuth や SAML といったベアラートークン認証の仕組みを用いて API へのアクセスをコントロール Lambda ファンクションを用いて許可するアクセスポリシーを生成して返す ネイティブサポート ユーザプール内に存在するユーザをもとにした認証のための ID トークンを受け取るように API Gateway を構成 47

48 Sign in with Federated Identities SAML Facebook Corporate ID Etc. 48

49 Federated Identities AWS リソースへのアクセスを制御する Temporary Credentials を払い出す アプリにハードコーディングしなくてよい ( してはいけない ) 未認証のゲストユーザ用 IAM Role も設定可能 各種の Identity Provider に対応 対応する外部プロバイダー (Web Identity) Amazon, Facebook, Twitter/Digits, Google, OpenID Connect 準拠の認証サービス 独自開発の認証システム (Developer Identity) SAML ID Provider 49

50 Federated Identities の概念 Identity 複数 ID プロバイダーのアカウント 複数デバイスを持ちうる一人のユーザ IdentityID Identity に付与される一意の ID IdentityPool Role 等の紐付け設定するプール 多くの場合一つのアプリまたはサービスに相当する単位 未認証アクセスの On/Off を設定可能 Authenticated Role 認証済み Identity に付与する権限を定義した IAM Role 一つの IdentityPool につき一つ設定 Unauthenticated Role 未認証 Identity( ゲストユーザ ) に付与する権限を定義した IAM Role 未認証アクセスを On にした IdentityPool の場合に設定 Authentication Providers Identity Pool に紐付ける認証プロバイダ 50

51 Federated Identities の認証フロー WebIdentity( 外部プロバイダー, OIDC) の場合 51

52 Federated Identities の認証フロー Developer Identity( 独自開発の認証システム ) の場合 52

53 Credentials の取得処理 (JavaScript) AWS.config.region = '<region>'; AWS.config.credentials = new AWS.CognitoIdentityCredentials({ IdentityPoolId: 'IDENTITY_POOL_ID', Logins: { // Logins を省略すればゲストユーザアクセスになる 'cognito-idp.<region>.amazonaws.com/<your_user_pool_id>': userpoolsession.getidtoken().getjwttoken() } }); AWS.config.credentials.get(function () { var accesskeyid = AWS.config.credentials.accessKeyId; var secretaccesskey = AWS.config.credentials.secretAccessKey; var sessiontoken = AWS.config.credentials.sessionToken; }); 53

54 Tips:Federated Identities でユーザごとに異なる権限を与える ロールベースアクセスコントロール Your User PoolsのUser Groupで分ける Your User Poolsのユーザ属性で分ける IAM Roleのポリシー変数でIdentityIDごとに制御 SAMLプロバイダでカスタムRoleを指定 54

55 Your User Pools の User Group で権限を分ける -1 User Pool でグループを作成する際に IAM Role を設定 55

56 Your User Pools の User Group で権限を分ける -2 Identity Pool に ID プロバイダとして User Pool を紐付ける際に Choose role from token を選択 56

57 Your User Pools のユーザ属性で権限を分ける 57

58 IAM Role のポリシー変数で IdentityID ごとに制御 要件 : 自分のリソースだけにアクセスさせたい 特に 2-Tier アーキテクチャの採用時に有効 58

59 IAM Role のポリシー変数で IdentityID ごとに制御 { } アクセス可能な S3 のプレフィクスを制限 "Version": " ", "Statement": [ { "Action": ["s3:listbucket"], "Effect": "Allow", "Resource": ["arn:aws:s3:::mybucket"], "Condition": { "StringLike": {"s3:prefix": ["${cognito-identity.amazonaws.com:sub}/* ]} } },{ "Action": ["s3:getobject", "s3:putobject"], "Effect": "Allow", "Resource": ["arn:aws:s3:::mybucket/${cognito-identity.amazonaws.com:sub}/* ] } ] 59

60 IAM Role のポリシー変数で IdentityID ごとに制御 { } アクセス可能な DynamoDB のキーを制限 "Version": " ", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:query", "dynamodb:putitem", "dynamodb:updateitem" ], "Resource": ["arn:aws:dynamodb:us-west-2: :table/mytable"], "Condition": { "ForAllValues:StringEquals": { "dynamodb:leadingkeys": ["${cognito-identity.amazonaws.com:sub}"] } } } ] 60

61 SAML プロバイダでカスタム Role を指定 SAML IdP を IAM コンソールで設定 Identity Pool に SAML IdP を紐付け SAML IdP で認証し SAML アサーションを取得 クレームで指定した IAM Role が認証済みユーザに割り当てられる

62 Cognito Identity がカバーするユースケース app app Partner A app Business to Consumer SAML Federation Enterprise Directory Business to Employee Partner B Business to Business Custom Authorizer Allow AWS IAM IoT AWS IoT Deny API Gateway with Lambda Access Control for AWS Resources 62

63 63 Cognito Sync

64 Cognito Sync ユーザのデータ 設定や情報を保存 アプリとデバイスのデータをクラウドに保存でき 未認証Identityで保存したデータは認証後にマージ クロスデバイス/クロス OS な同期 数行のコードでデバイスやプラットフォームをま たがってユーザのデータや設定を同期 User Data Storage and Sync Identity pool k/v data オフライン動作 データは常にローカルのストレージにまず保存さ れるので電波が不安定もしくは不通であっても シームレスに動作 バックエンド不要 スケーラブルで信頼性の高いデータ同期基盤 をシンプルなクライアント SDK を組み込む だけで利用可能 64 ios/android/fireos/webブラウザ Any Platform

65 Cognito Federated Identity と Cognito Sync のデータモデル Identity Pool: アプリユーザの Pool アプ リ間で共有する場合もある Identity: 個々のユーザ ID プロバイダ間 をまたいでユニーク ゲストユーザも可 Dataset: ユーザごとのデータのグループ Record: Key/Value のユーザデータ AWS Account 1:60 Identity Pool 1:n Identity Identity Identity 1:20 1:1024 Dataset Dataset Dataset Dataset Dataset Record You Your App Your App Users User Data Container User Data 65

66 2 種類の同期処理 synchronize 接続が不安定な場合などのエラー時の処理は自分で実装する必要があるコールされるとクラウド上の変更が pull され ローカルの変更は push される synchronizeonconnectivity 実行時に接続可能であれば通常の synchronize メソッドと同様の振る舞いをする接続できなかったときは接続状態を監視し可能になったら同期される複数回呼び出した場合は最後のオペレーションがキープされる 66

67 コード例 (Android) // Cognito Sync client の初期化 CognitoSyncManager syncclient = new CognitoSyncManager( getapplicationcontext(), Regions.AP_NORTHEAST_1, // Region credentialsprovider); //Dataset をオープンし レコードを追加 Dataset dataset = syncclient.openorcreatedataset("mydataset"); dataset.put("mykey", "myvalue"); // 同期処理の実行 dataset.synchronize(new DefaultSyncCallback() public void onsuccess(dataset dataset, List newrecords) { //Your handler code here } }); 67

68 コード例 (JavaScript) // Cognito Sync client の初期化 AWS.config.credentials.get(function(){ var syncclient = new AWS.CognitoSyncManager(); syncclient.openorcreatedataset('mydataset', function(err, dataset) { dataset.put('mykey', 'myvalue', function(err, record){ dataset.synchronize({ onsuccess: function(data, newrecords) { // ハンドラを実装 }, /* onfailure: function(error) {}, onconflict: function(data, conflicts, callback) {}, ondatasetdeleted: function(dataset, deleteddataset, callback) {}, ondatasetmerged: function(dataset, merges, callback) {} */ }); }); }); }); 68

69 Amazon Cognito Push Sync Amazon SNS Mobile Push との連携 Amazon Cognito がデータセットが更新されたタイミングで Amazon SNS Mobile Push と連携して データセットにサブスクライブしている各デバイスにプッシュ通知を 送信できる プッシュ通知を受け取ったアプリはデータストアの再同期を行うように実 装するなど 1. サブスクライブ 3. プッシュ通知 2. データ同期 Mobile SDK Amazon Cognito Sync Dataset Amazon SNS Mobile Push Mobile SDK 4. データ同期 モバイルアプリ (デバイス１) 69 モバイルアプリ (デバイス２)

70 Amazon Cognito Stream Amazon Kinesis との連携 Amazon Cognito のデータセットが更新されたタイミングで Amazon Kinesis スト リームで更新や同期のデータを受け取ることができる ストリームの内容 2. Stream Content { "identitypoolid" : "Pool Id "identityid" : "Identity Id "datasetname" : "Dataset Name "operation" : "(replace remove) "kinesissyncrecords" : [ { "key" : "Key", "value" : "Value", "synccount" : 1, "lastmodifieddate" : , "devicelastmodifieddate" : , "op": "(replace remove)" },... ], "lastmodifieddate": , "kinesissyncrecordsurl": "S3Url", "payloadtype" : "(S3Url Inline)", "synccount" : 1 1. データ同期 Mobile SDK Amazon Cognito Sync Store Amazon Kinesis 3. 例えば モバイルアプリ AWS Lambda } 70

71 Amazon Cognito Events Amazon Lambda との連携 2. Sync Trigger Mobile SDK 1. データ同期 Amazon Cognito Sync Store 3. 何か処理 AWS Lambda モバイルアプリ 元データ Key Value 住所 東京都 渋谷区 松濤 1 丁目 修正済みデータ Key Value 住所 東京都渋谷区松濤 1 丁目 Lambda Function 空白を削除するプログラム 71

72 72 料金体系

73 料金体系 Cognito Identity Federated Identities: 無料 Your User Pools: 最初の 50,000 MAU まで 次の 50,000 MAU まで 次の 900,000 MAU まで 次の 9,000,000 MAU まで 無料 USD USD USD 10,000,000 MAU を超える分 USD MFA や電話番号検証に SMS を送信する場合は別途 Amazon SNS の料金が必要 Cognito Sync Sync オペレーション 1 万回につき 0.15 USD/ 月 1GB の保存容量につき 0.15 USD/ 月 最初 12 ヶ月間の無料枠中は Sync 100 万回 / 月と保存容量 10GB/ 月が無料 73

74 課金ボリュームと計算のシミュレーション 例 User Pools を使った 100 万登録ユーザ 15 万 MAU の大規模なサービス 各ユーザが毎日 3 回データを Sync ユーザあたりのデータ保存量は 10KB 全体の総保存容量は 10GB 計算 User Pools (50,000MAU * USD) + (50,000MAU * USD) = 505 USD Cognito Sync (150,000 MAU * 3 Sync * 31 Days) / * 0.15 USD = USD 10 * 0.15 = 1.5 USD 計 : = USD/ 月 74

75 参考資料 Amazon Cognito 開発者用リソース AWS Mobile Blog Amazon Cognito よくある質問 75

76 オンラインセミナー資料の配置場所 AWS クラウドサービス活用資料集 AWS Solutions Architect ブログ 最新の情報 セミナー中のQ&A等が掲載されています 76

77 公式 Twitter/Facebook AWS 検索 もしくは 最新技術情報 イベント情報 お役立ち情報 お得なキャンペーン情報などを日々更新しています! 77

78 AWS の導入 お問い合わせのご相談 AWS クラウド導入に関するご質問 お見積り 資料請求をご希望のお客様は以下のリンクよりお気軽にご相談ください AWS 問い合わせ で検索してください 78

79 79 ご参加ありがとうございました

80 80