Bonnes pratiques en matière de mutualisation des groupes d'utilisateurs - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques en matière de mutualisation des groupes d'utilisateurs

La mutualisation basée sur les groupes fonctionne mieux lorsque votre architecture nécessite des groupes d'utilisateurs Amazon Cognito dotés de groupes d'identités.

L'ID du groupe d'utilisateurs et les jetons d'accès contiennent une cognito:groups réclamation. De plus, les jetons d'identification contiennent cognito:roles et cognito:preferred_role revendiquent. Lorsque le principal résultat de l'authentification dans votre application est des AWS informations d'identification temporaires provenant d'un pool d'identités, les appartenances aux groupes de vos utilisateurs peuvent déterminer le IAMrôle et les autorisations qu'ils reçoivent.

Prenons l'exemple de trois locataires qui stockent chacun les actifs de l'application dans leur propre compartiment Amazon S3. Affectez les utilisateurs de chaque locataire à un groupe associé, configurez un rôle préféré pour le groupe et accordez à ce rôle un accès en lecture à leur bucket.

Le schéma suivant montre les locataires partageant un client d'application et un groupe d'utilisateurs, avec des groupes dédiés dans le groupe d'utilisateurs qui déterminent leur éligibilité à un IAM rôle.

Schéma d'un modèle many-to-one multi-tenant dans lequel chaque locataire possède son propre groupe d'utilisateurs dans un pool d'utilisateurs partagé.
Quand mettre en œuvre la mutualisation collective

Lorsque l'accès aux AWS ressources est votre principale préoccupation. Les groupes des groupes d'utilisateurs Amazon Cognito constituent un mécanisme de contrôle d'accès basé sur les rôles (). RBAC Vous pouvez configurer de nombreux groupes dans un groupe d'utilisateurs et prendre des RBAC décisions complexes avec une priorité de groupe. Les pools d'identités peuvent attribuer des informations d'identification au rôle ayant la priorité la plus élevée, à n'importe quel rôle revendiqué par le groupe ou à partir d'autres revendications contenues dans les jetons d'un utilisateur.

Niveau d'effort

Le niveau d'effort pour maintenir la multilocation avec la seule adhésion à un groupe est faible. Toutefois, pour étendre le rôle des groupes de groupes d'utilisateurs au-delà de la capacité intégrée de sélection des IAM rôles, vous devez créer une logique d'application qui traite l'appartenance aux groupes dans les jetons des utilisateurs et déterminer ce qu'il faut faire dans le client. Vous pouvez intégrer Amazon Verified Permissions à vos applications pour prendre des décisions d'autorisation côté client. Les identifiants de groupe ne sont actuellement pas traités dans les IsAuthorizedWithTokenAPIopérations d'autorisations vérifiées, mais vous pouvez développer un code personnalisé qui analyse le contenu des jetons, y compris les demandes d'adhésion à un groupe.