Verwenden von Attributen für die Zugriffskontrolle mit Amazon-Cognito-Identitätspools - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Attributen für die Zugriffskontrolle mit Amazon-Cognito-Identitätspools

Bevor Sie Attribute für die Zugriffskontrolle verwenden können, müssen Sie die folgenden Voraussetzungen erfüllen:

Um Attribute für die Zugriffskontrolle zu verwenden, legt die Anforderung, die Sie als Datenquelle angeben, den Wert des von Ihnen ausgewählten Tag-Schlüssels fest. Amazon Cognito wendet den Tag-Schlüssel und den Wert auf die Sitzung Ihres Benutzers an. Ihre IAM-Richtlinien können den Zugriff Ihres Benutzers anhand der ${aws:PrincipalTag/tagkey}-Bedingung evaluieren. IAM evaluiert den Wert des Tags Ihres Benutzers anhand der Richtlinie.

Sie müssen IAM-Rollen vorbereiten, deren Anmeldeinformationen Sie an Ihre Benutzer weitergeben. Die Vertrauensrichtlinie dieser Rollen muss es Amazon Cognito erlauben, die Rolle für Ihren Benutzer zu übernehmen. Bei Attributen für die Zugriffskontrolle müssen Sie Amazon Cognito außerdem erlauben, Prinzipal-Tags auf die temporäre Sitzung Ihres Benutzers anzuwenden. Erteilen Sie mit der Aktion AssumeRoleWithWebIdentity die Berechtigung, die Rolle zu übernehmen. Erteilen Sie mit der „nur mit Berechtigung“-Aktion sts:TagSession die Berechtigung, die Sitzungen der Benutzer mit Tags zu versehen. Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS Security Token Service im AWS Identity and Access Management-Benutzerhandbuch. Ein Beispiel einer Vertrauensrichtlinie, die dem Service-Prinzipal cognito-identity.amazonaws.com von Amazon Cognito sts:AssumeRoleWithWebIdentity und sts:TagSession-Berechtigungen gewährt, finden Sie unter Verwenden von Attributen für die Zugriffskontrollrichtlinie (Beispiel).

So konfigurieren Sie Attribute für die Zugriffskontrolle in der Konsole

  1. Melden Sie sich bei der Amazon-Cognito-Konsole an und wählen Sie Identitätspools aus. Wählen Sie einen Identitätspool aus.

  2. Wählen Sie die Registerkarte Datenzugriff aus.

  3. Suchen Sie Identitätsanbieter. Wählen Sie den Identitätsanbieter aus, den Sie bearbeiten möchten. Wenn Sie einen neuen IdP hinzufügen möchten, wählen Sie Identitätsanbieter hinzufügen aus.

  4. Um die Prinzipal-Tags zu ändern, die Amazon Cognito Benutzern zuweist, wenn es Anmeldeinformationen an Benutzer ausgibt, die sich bei diesem Anbieter authentifiziert haben, wählen Sie unter Attribute für die Zugriffskontrolle die Option Bearbeiten.

    1. Um keine Prinzipal-Tags anzuwenden, wählen Sie Inaktiv aus.

    2. Wählen Sie Standardzuordnungen verwenden, um Prinzipal-Tags auf der Grundlage von sub- und aud-Anforderungen anzuwenden.

    3. Um Ihr eigenes benutzerdefiniertes Schema von Attributen für Prinzipal-Tags zu erstellen, wählen Sie Benutzerdefinierte Zuordnungen verwenden. Geben Sie dann einen Tag-Schlüssel ein, den Sie aus jeder Anforderung beziehen möchten, die Sie in einem Tag repräsentieren möchten.

  5. Wählen Sie Save Changes (Änderungen speichern) aus.