Tutoriel : Création d'un groupe d'identités - Amazon Cognito
Ressources connexes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : Création d'un groupe d'identités

Grâce à un groupe d'identités, vos utilisateurs peuvent obtenir des informations d'identification AWS temporaires pour accéder à des services AWS comme Amazon S3 et DynamoDB.

Pour créer un groupe d'identités dans la console

  1. Connectez-vous à la console Amazon Cognito et sélectionnez Groupes d'identités.

  2. Choisissez Créer un groupe d'identités.

  3. Dans Configurer l'approbation du groupe d'identités, choisissez de configurer votre réserve d'identités en sélectionnant Accès authentifié, Accès invité ou les deux.

    1. Si vous avez choisi Accès authentifié, sélectionnez un ou plusieurs types d'identité que vous souhaitez définir comme source des identités authentifiées dans votre réserve d'identités. Si vous configurez un fournisseur du développeur personnalisé, vous ne pouvez ni le modifier ni le supprimer après avoir créé votre réserve d'identités.

  4. Dans Configurer les autorisations, choisissez un rôle IAM par défaut pour les utilisateurs authentifiés ou invités dans votre réserve d'identités.

    1. Choisissez Créer un nouveau rôle IAM si vous souhaitez qu'Amazon Cognito crée un nouveau rôle pour vous avec des autorisations de base et une relation d'approbation avec votre réserve d'identités. Saisissez le nom du rôle IAM pour identifier votre nouveau rôle, par exemple myidentitypool_authenticatedrole. Sélectionnez Afficher le document de stratégie pour passer en revue les autorisations qu'Amazon Cognito attribuera à votre nouveau rôle IAM.

    2. Vous pouvez choisir Utiliser un rôle IAM existant si vous possédez déjà un rôle dans votre Compte AWS que vous souhaitez utiliser. Vous devez configurer votre politique d'approbation de rôle IAM de manière à inclure cognito-identity.amazonaws.com. Configurez votre politique d'approbation de rôle pour autoriser Amazon Cognito à endosser le rôle uniquement quand il présente une preuve que la demande provient d'un utilisateur authentifié dans votre réserve d'identités spécifique. Pour de plus amples informations, veuillez consulter Autorisations et approbation de rôle.

  5. Dans Connecter les fournisseurs d'identité, saisissez les détails des fournisseurs d'identité (IdP) que vous avez choisis dans Configurer l'approbation du groupe d'identités. Vous pouvez être invité à fournir des informations sur le client d'application OAuth, à choisir un groupe d'utilisateurs Amazon Cognito, à choisir un fournisseur d'identité IAM ou à saisir un identifiant personnalisé pour un fournisseur de développement.

    1. Choisissez les paramètres de rôle pour chaque fournisseur d'identité. Vous pouvez attribuer aux utilisateurs de ce fournisseur d'identité le rôle par défaut que vous avez configuré lorsque vous avez configuré votre rôle authentifié, ou vous pouvez sélectionner Choisir un rôle avec des règles. Avec un fournisseur d'identité de groupe d'utilisateurs Amazon Cognito, vous pouvez également sélectionner Choisir le rôle avec preferred_role dans les jetons. Pour plus d'informations sur le champ standard cognito:preferred_role, consultez Affectation de valeurs de priorité à des groupes.

      1. Si vous avez choisi Choisir un rôle avec des règles, saisissez la demande source issue de l'authentification de votre utilisateur, l'opérateur avec lequel vous souhaitez comparer ce champ standard, la valeur qui entraînera une correspondance avec ce choix de rôle et le rôle que vous souhaitez attribuer si l'attribution de rôle correspond. Sélectionnez Ajouter un autre pour créer une règle supplémentaire basée sur une condition différente.

      2. Choisissez une résolution de rôle. Lorsque les champs standard de votre utilisateur ne correspondent pas à vos règles, vous pouvez refuser les informations d'identification ou émettre des informations d'identification pour votre rôle authentifié.

    2. Configurez Attributs de contrôle d'accès pour chaque fournisseur d'identité. L'option Attributs de contrôle d'accès mappe les champs standard utilisateur sur les balises de principal qu'Amazon Cognito applique à la session temporaire. Vous pouvez générer des politiques IAM pour filtrer l'accès des utilisateurs en fonction des balises que vous appliquez à leur session.

      1. Pour n'appliquer aucune balise de principal, choisissez Inactif.

      2. Pour appliquer les balises de principal en fonction des champs standard sub et aud, choisissez Utiliser les mappages par défaut.

      3. Pour créer votre propre schéma personnalisé d'attributs pour les balises de principal, choisissez Utiliser des mappages personnalisés. Saisissez ensuite une clé de balise que vous souhaitez obtenir à partir de chaque demande que vous souhaitez représenter dans une balise.

  6. Dans Configurer les propriétés, saisissez un nom sous Nom du groupe d'identités.

  7. Sous Authentification de base (classique), choisissez si vous souhaitez activer le flux de base. Lorsque le flux de base est actif, vous pouvez ignorer les sélections de rôles que vous avez effectuées pour vos fournisseurs d'identité et appeler directement AssumeRoleWithWebIdentity. Pour de plus amples informations, veuillez consulter Flux d'authentification de groupes d'identités (identités fédérées).

  8. Sous Balises, choisissez Ajouter une balise si vous souhaitez appliquer des balises à votre réserve d'identités.

  9. Dans Vérifier et créer, confirmez les sélections que vous avez effectuées pour votre nouvelle réserve d'identités. Sélectionnez Modifier pour revenir dans l'assistant et modifier des paramètres. Lorsque vous avez terminé, sélectionnez Créer un groupe d'identités.

Pour plus d'informations sur les groupes d'identités, consultez Groupes d’identités Amazon Cognito.

Pour consulter un exemple d'utilisation d'un groupe d'identités avec Amazon S3, consultez la page relative au chargement de photos dans Amazon S3 depuis un navigateur.