Uso de atributos para el control de acceso con grupos de identidades de Amazon Cognito - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de atributos para el control de acceso con grupos de identidades de Amazon Cognito

Antes de utilizar atributos para el control de acceso, asegúrese de cumplir los siguientes requisitos previos:

Para utilizar los atributos para el control de acceso, la Reclamación que establece como origen de datos establece el valor de la Clave de etiqueta que elija. Amazon Cognito aplica la clave y el valor de la etiqueta a la sesión del usuario. Sus IAM políticas pueden evaluar el acceso de sus usuarios a partir de la ${aws:PrincipalTag/tagkey} condición. IAMevalúa el valor de la etiqueta de usuario en comparación con la política.

Debe preparar IAM los roles cuyas credenciales desee transmitir a sus usuarios. La política de confianza de estos roles debe permitir a Amazon Cognito asumir el rol para el usuario. Para los atributos para el control de acceso, también debe permitir que Amazon Cognito aplique las etiquetas de las entidades principales a la sesión temporal del usuario. Conceda permiso para asumir el rol con la acción AssumeRoleWithWebIdentity. Conceda permiso para etiquetar las sesiones de los usuarios con la acción de solo permiso sts:TagSession. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS Security Token Service en la Guía del usuario de AWS Identity and Access Management . Para una política de confianza de ejemplo que concede permisos sts:AssumeRoleWithWebIdentity y sts:TagSession a la entidad principal de servicio de Amazon Cognito cognito-identity.amazonaws.com, consulte Ejemplo de política de uso de atributos para el control de acceso.

Para configurar atributos para el control de acceso en la consola

  1. Inicie sesión en la consola de Amazon Cognito y seleccione Grupos de identidades. Seleccione un grupo de identidades.

  2. Elija la pestaña Acceso de usuario.

  3. Localice proveedores de identidades. Elija el proveedor de identidades que desea editar. Si quiere agregar un nuevo IdP, seleccione Agregar proveedor de identidades.

  4. Para cambiar las etiquetas de la entidad principal que Amazon Cognito asigna cuando emite credenciales a los usuarios que se han autenticado con este proveedor, elija Editar en Atributos para el control de acceso.

    1. Para no aplicar ninguna etiqueta de entidad principal, elija Inactivo.

    2. Para aplicar etiquetas de entidades principales en función de las reclamaciones sub y aud, elija Usar mapeos predeterminados.

    3. Para crear su propio esquema personalizado de atributos para las etiquetas de la entidades principales, elija Usar mapeos personalizados. A continuación, ingrese una Clave de etiqueta que desee obtener de cada Reclamación que desee representar en una etiqueta.

  5. Seleccione Guardar cambios.