【AWS】【cognito】cognitoで使用するID群の管理方法

###前提・実現したいこと
AWS-cognitoを使用し、ハイブリッド(monaca)＋angularJsでアプリの認証処理を実装しています。
cloudFront、S3も使用しているのでcognitoで認証時のロール設定として権限を付与することでアクセスキーやシークレットキーなどは内包しています。

そこで質問なのですが、cognito自体のIDはどう管理すべきなのでしょうか？
regionはよいとして、ClientId、UserPoolId、IdentityPoolIdなどです。
AWSのドキュメントを見る限り、アクセスキーなどは暗号化されたストレージでさえ保存すべきではなく、
Roleを使用するのがベストプラクティスであると記載がありそれは理解できるのでcognitoを使用しているのですがcognito自体はどうするべきなのだろうかと手が止まってしまった感じです。

お手数ですがご回答宜しくお願い致します。

行動規範の内容に同意します

回答1件

ベストアンサー

開発されているサービスによるかと思います。

■TwitterなどのSNSのような自由に新規登録（SignUp）ができる場合
サービスの機能として登録できるのだから、ClientId、UserPoolId、IdentityPoolIdの3つが漏れても、IAMRoleの設定さえしっかりしておけば問題ではありません。コードのMinify（圧縮・難読化）くらいはしておいてもいいかもしれませんが。
この場合のIAMは、UserPoolのユーザーID的なもので権限をしばれるはずです。AというユーザーはAのリソースにしかさわれないような権限にシておく必要があります。こうすれば、漏れても問題ありませんよね。

■管理ツールのような、特定のユーザーアカウントのみを発行する場合
UserPoolsには、UserPoolsのAdmin権限を持った人しか新規ユーザー登録ができないようにする
機能があるため、そのようにしておけば、3つのIDが漏れたところで、ユーザは発行されない→クレデンシャルは得られない→悪いこと出来ないとなるでしょう。

投稿2017/08/03 15:34