Verwenden von Attributen für Zugriffskontrolle - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Attributen für Zugriffskontrolle

Die attributbasierte Zugriffskontrolle ist die Amazon–Cognito-Identitätspool-Implementierung attributbasierter Zugriffskontrolle (ABAC). Sie können IAM-Richtlinien verwenden, um den Zugriff auf AWS-Ressourcen über Amazon-Cognito-Identitätspools basierend auf Benutzerattributen zu steuern. Diese Attribute können von Anbietern sozialer Identitäten und Anbietern für Identitäten für Unternehmen bezogen werden. Sie können Attribute innerhalb von Zugriffs- und ID-Token oder SAML-Assertionen Tags zuordnen, auf die in den IAM-Berechtigungsrichtlinien verwiesen werden kann.

Sie können Standardmappings auswählen oder eigene benutzerdefinierte Mappings in Amazon-Cognito-Identitätspools erstellen. Mit den Standardmappings können Sie IAM-Richtlinien basierend auf einem festen Satz von Benutzerattributen schreiben. Mit benutzerdefinierten Mappings können Sie einen benutzerdefinierten Satz von Benutzerattributen auswählen, auf die in den IAM-Berechtigungsrichtlinien verwiesen wird. Die Attributnamen in der Amazon-Cognito-Konsole werden dem Tag-Schlüssel für den Prinzipal zugeordnet, bei dem es sich um die Tags handelt, auf die in der IAM-Berechtigungsrichtlinie verwiesen wird.

Angenommen, Sie besitzen einen Medien-Streaming-Service mit einer kostenlosen und einer kostenpflichtigen Mitgliedschaft. Sie speichern die Mediendateien in Amazon S3 und markieren sie mit kostenlosen oder Premium-Tags. Sie können Attribute für die Zugriffskontrolle verwenden, um den Zugriff auf kostenlose und kostenpflichtige Inhalte basierend auf der Ebene der Benutzermitgliedschaft zu ermöglichen, die Teil des Benutzerprofils ist. Sie können das Mitgliedschaftsattribut einem Tag-Schlüssel zuordnen, der an die IAM-Berechtigungsrichtlinie weitergegeben werden soll. Auf diese Weise können Sie eine einzelne Berechtigungsrichtlinie erstellen und den Zugriff auf Premium-Inhalte basierend auf dem Wert der Mitgliedschaftsstufe und des Tags für die Inhaltsdateien bedingt zulassen.

Themen

Das Verwenden von Attributen zum Steuern des Zugriffs bietet mehrere Vorteile:

  • Die Berechtigungsverwaltung ist effizienter, wenn Sie Attribute für die Zugriffskontrolle verwenden. Sie können eine grundlegende Berechtigungsrichtlinie erstellen, die Benutzerattribute verwendet, anstatt mehrere Richtlinien für verschiedene Auftragsfunktionen zu erstellen.

  • Sie müssen Ihre Richtlinien nicht aktualisieren, wenn Sie Ressourcen oder Benutzer für Ihre Anwendung hinzufügen oder entfernen. Die Berechtigungsrichtlinie gewährt den Zugriff nur Benutzern mit den übereinstimmenden Benutzerattributen. Beispielsweise müssen Sie möglicherweise den Zugriff auf bestimmte S3 Buckets basierend auf dem Auftragstitel der Benutzer steuern. In diesem Fall können Sie eine Berechtigungsrichtlinie erstellen, um den Zugriff auf diese Dateien nur Benutzern innerhalb des definierten Auftragstitels zu ermöglichen. Weitere Informationen finden Sie unter IAM-Tutorial: Verwenden von SAML-Sitzungs-Tags für ABAC.

  • Attribute können als Prinzipal-Tags an eine Richtlinie übergeben werden, die Berechtigungen basierend auf den Werten dieser Attribute zulässt oder verweigert.