Utilisation d'attributs pour le contrôle d'accès avec des groupes d'identités Amazon Cognito - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'attributs pour le contrôle d'accès avec des groupes d'identités Amazon Cognito

Avant d'utiliser des attributs pour le contrôle d'accès, assurez-vous que les prérequis suivants sont réunis :

Pour utiliser des attributs pour le contrôle d'accès, la demande que vous définissez comme source de données définit la valeur de la clé de balise que vous choisissez. Amazon Cognito applique la clé et la valeur de balise à la session de votre utilisateur. Vos politiques IAM peuvent évaluer l'accès de votre utilisateur à partir de la condition ${aws:PrincipalTag/tagkey}. IAM évalue la valeur de la balise de votre utilisateur par rapport à la politique.

Vous devez préparer les rôles IAM dont vous souhaitez transmettre les informations d'identification à vos utilisateurs. La politique d'approbation de ces rôles doit autoriser Amazon Cognito à endosser le rôle pour votre utilisateur. Pour les attributs de contrôle d'accès, vous devez également autoriser Amazon Cognito à appliquer des balises relatives au principal à la session temporaire de votre utilisateur. Accordez l'autorisation d'endosser le rôle avec l'action AssumeRoleWithWebIdentity. Accordez l'autorisation afin de baliser les sessions des utilisateurs avec l'action avec autorisation uniquement sts:TagSession. Pour plus d'informations, consultez Transmission des balises de session dans AWS Security Token Service, dans le Guide de l'utilisateur AWS Identity and Access Management. Pour obtenir un exemple de politique d'approbation qui accorde les autorisations sts:AssumeRoleWithWebIdentity et sts:TagSession au principal du service Amazon Cognito cognito-identity.amazonaws.com, consultez Exemple d'utilisation d'attributs pour une stratégie de contrôle d'accès.

Pour configurer les attributs pour le contrôle d'accès dans la console
  1. Connectez-vous à la console Amazon Cognito et sélectionnez Groupes d'identités. Sélectionnez une réserve d'identités.

  2. Choisissez l'onglet Accès utilisateur.

  3. Localisez Fournisseurs d'identité. Choisissez le fournisseur d'identité que vous souhaitez modifier. Si vous souhaitez ajouter un nouveau fournisseur d'identité, sélectionnez Ajouter un fournisseur d'identité.

  4. Pour modifier les balises de principal qu'Amazon Cognito attribue lorsqu'il délivre des informations d'identification aux utilisateurs qui se sont authentifiés auprès de ce fournisseur, choisissez Modifier dans Attributs de contrôle d'accès.

    1. Pour n'appliquer aucune balise de principal, choisissez Inactif.

    2. Pour appliquer les balises de principal en fonction des champs standard sub et aud, choisissez Utiliser les mappages par défaut.

    3. Pour créer votre propre schéma personnalisé d'attributs pour les balises de principal, choisissez Utiliser des mappages personnalisés. Saisissez ensuite une clé de balise que vous souhaitez obtenir à partir de chaque demande que vous souhaitez représenter dans une balise.

  5. Sélectionnez Enregistrer les modifications.