２つのプール

ユーザープール

認証用

IDプール

認可用

公式の手順（Amazon Cognito とは - Amazon Cognito ）

1. アプリのユーザーはユーザープールを介してサインインし、認証が成功するとユーザープールトークンを受け取る

2. アプリケーションが ID プール経由でユーザープールトークンを AWS 認証情報と交換する。

3. アプリケーションユーザーがこれらの AWS 認証情報を使用して、Amazon S3 または DynamoDB などの AWS のその他サービスにアクセスできるようになる

AWS Amplifyを使ったら、コマンドを叩くて自動で環境構築してくれる

ただ、パスワードポリシーなどは自分で設定する必要あり（もしくは amplify コマンドで指定できるのかも）

デフォルトでロックアウト機能がある

パスワードの入力間違いが6回以上あると、一時的にロックアウトされる

パスワードを間違えるほど最大15分までロックアウト時間が伸びる

このロックアウトの仕様はユーザの方でカスタマイズできない