Utilisation d'attributs pour le contrôle d'accès en guise de contrôle d'accès basé sur les attributs - Amazon Cognito

Utilisation d'attributs pour le contrôle d'accès en guise de contrôle d'accès basé sur les attributs

Vous pouvez utiliser des stratégies IAM pour contrôler l'accès aux ressources AWS via des groupes d'identités Amazon Cognito basés sur des attributs utilisateur. Ces attributs peuvent être tirés de fournisseurs d'identités sociale et d'entreprise. Vous pouvez mapper des attributs figurant dans des jetons d'accès et d'identification, ou dans des assertions SAML des fournisseurs, à des étiquettes qui peuvent être référencées dans les stratégies d'autorisations IAM.

Vous pouvez choisir des mappages par défaut ou créer vos propres mappages personnalisés dans des groupes d'identités Amazon Cognito. Les mappages par défaut vous permettent d'écrire des stratégies IAM basées sur un ensemble fixe d'attributs utilisateur. Les mappages personnalisés vous permettent de sélectionner un ensemble personnalisé d'attributs utilisateur référencés dans les stratégies d'autorisations IAM. Les noms d'attribut dans la console Amazon Cognito sont mappés à Tag key for principal (Clé d'étiquettes pour mandataire), qui sont les étiquettes référencées dans la stratégie d'autorisations IAM.

Par exemple, supposons que vous disposez d'un service de streaming multimédia avec des formules d'adhésion gratuite et payante. Vous stockez les fichiers multimédias dans Amazon S3 et les étiquetez avec des étiquettes Free ou Premium. Vous pouvez utiliser des attributs pour le contrôle d'accès afin d'autoriser l'accès au contenu gratuit et payant en fonction du niveau d'adhésion de l'utilisateur spécifié dans le profil de celui-ci. Vous pouvez mapper l'attribut d'adhésion à une clé d'étiquette pour mandataire à transmettre à la stratégie d'autorisations IAM. Vous pouvez ainsi créer une stratégie d'autorisations uniques et autoriser conditionnellement l'accès au contenu premium en fonction de la valeur du niveau d'adhésion et de l'étiquette sur les fichiers de contenu.

L'utilisation d'attributs pour contrôler l'accès présente plusieurs avantages :

  • La gestion des autorisations est plus facile lorsque vous utilisez des attributs pour le contrôle d'accès. Vous pouvez créer une stratégie d'autorisations de base qui utilise des attributs utilisateur au lieu de créer plusieurs stratégies pour différentes fonctions professionnelles.

  • Vous n'avez pas besoin de mettre à jour vos stratégies chaque fois que vous ajoutez ou supprimez des ressources ou des utilisateurs pour votre application. La stratégie d'autorisations n'accorde l'accès qu'aux utilisateurs titulaires des attributs utilisateur appropriés. Par exemple, il se peut que vous deviez contrôler l'accès à certains compartiments S3 en fonction du titre professionnel des utilisateurs. Dans ce cas, vous pouvez créer une stratégie d'autorisations afin de n'autoriser l'accès à ces fichiers qu'aux utilisateurs titulaires du titre professionnel défini. Pour plus d'informations, consultez le Didacticiel IAM : utilisation de balises de session SAML pour le contrôle ABAC.

  • Les attributs peuvent être transmis en tant qu'étiquettes de mandataires à une stratégie qui autorise ou refuse des autorisations en fonction des valeurs de ces attributs.