Utilisation d'attributs pour le contrôle d'accès avec des groupes d'identités Amazon Cognito

Important

Actuellement, les groupes d'identités Amazon Cognito utilisent une ancienne version de la console Amazon Cognito. Choisissez Identités fédérées pour accéder à la console des groupes d'identités.

Avant d'utiliser des attributs pour le contrôle d'accès, assurez-vous que les prérequis suivants sont réunis :

• Un compte AWS

• Groupe d'utilisateurs

• Groupe d'identités

• Le kit SDK Mobile ou JavaScript

• Fournisseurs d'identité intégrés

• Informations d'identification

Pour utiliser des attributs pour le contrôle d'accès, vous devez définir les champs Tag Key for Principal (Clé d'étiquette pour mandataire) et le Attribute Name (Nom d'attribut). La valeur du champ Tag Key for Principal (Clé d'étiquette pour mandataire) est utilisée pour établir une correspondance avec la condition PrincipalTag dans les stratégies d'autorisations. La valeur du champ Attribute Name (Nom d'attribut) est le nom de l'attribut dont la valeur sera évaluée dans la stratégie.

Pour utiliser des attributs pour le contrôle d'accès avec des groupes d'identités

1. Ouvrez la console Amazon Cognito.

2. Choisissez Manage Identity groupes (Gérer les groupes d'identité).

3. Dans le tableau de bord, choisissez le nom du groupe d'identités sur lequel vous souhaitez utiliser des attributs pour le contrôle d'accès.

4. Choisissez Edit identity groupe (Modifier le groupe d'identités).

5. Développez la section Authentication providers (Fournisseurs d'authentification).

6. Dans la section Authentication providers (Fournisseurs d'authentification), choisissez l'onglet du fournisseur que vous voulez utiliser.

7. Dans Attributes for access control (Attributs pour le contrôle d'accès), choisissez Default attribute mappings (Mappages d'attributs par défaut) ou Custom attribute mappings (Mappages d'attributs personnalisés). Les mappages par défaut diffèrent pour chaque fournisseur. Pour plus d'informations, consultez Mappages de fournisseurs par défaut pour découvrir les attributs pour le contrôle d'accès.

8. Si vous choisissez Custom attribute mappings (Mappages d'attributs personnalisés), procédez comme suit.

   1. Dans Tag Key for Principal (Clé d'étiquette pour mandataire), saisissez votre texte personnalisé. La longueur est limitée à 128 caractères.

   2. Dans Attribute Name (Nom d'attribut), saisissez les noms d'attributs extraits des jetons ou assertions SAML des fournisseurs. Vous pouvez trouver les noms d'attributs pour vos fournisseurs d'identité dans le manuel du développeur de votre fournisseur. La longueur des noms d'attributs est limitée à 256 caractères. En outre, la limite agrégée de caractères pour tous les attributs est de 460 octets.

   3. (Facultatif) Ajouter un fournisseur. Vous pouvez ajouter plusieurs fournisseurs aux fournisseurs de groupes d'utilisateurs Amazon Cognito, OIDC et SAML dans la console. Par exemple, vous pouvez ajouter deux groupes d'utilisateurs Amazon Cognito comme deux fournisseurs d'identité distincts. Amazon Cognito traite chaque onglet comme un fournisseur d'identité distinct. Vous pouvez configurer des attributs pour le contrôle d'accès séparément pour chaque fournisseur d'identité.

   4. Pour terminer, utilisez la console IAM pour créer une stratégie d'autorisations incluant les mappages par défaut ou les mappages de texte personnalisés que vous avez fournis dans Tag Key for Principal (Clé d'étiquette pour mandataire). Pour savoir comment créer une stratégie d'autorisations dans IAM, consultez Didacticiel IAM : définir les autorisations d'accès aux ressources AWS en fonction des balises dans Guide de l'utilisateur IAM.