Utilizzo di attributi per il controllo degli accessi

Gli attributi per il controllo degli accessi è l'implementazione dei pool di identità di Amazon Cognito del controllo degli accessi basato su attributi (ABAC). È possibile utilizzare le policy IAM per controllare l'accesso alle risorse AWS attraverso i pool di identità di Amazon Cognito in base agli attributi dell'utente. Questi attributi possono essere ricavati da provider di identità social e aziendali. È possibile eseguire la mappatura degli attributi all'interno dei token di accesso e ID dei provider o delle asserzioni SAML per i tag a cui è possibile fare riferimento nelle policy di autorizzazione IAM.

Puoi scegliere le mappature predefinite oppure creare le tue mappature personalizzate nei pool di identità di Amazon Cognito. Le mappature predefinite consentono di scrivere policy IAM in base a un set fisso di attributi utente. Le mappature personalizzate consentono invece di selezionare un set personalizzato di attributi utente a cui si fa riferimento nelle policy di autorizzazioni IAM. I nomi degli attributi nella console Amazon Cognito sono mappati alla chiave tag per principal, che sono i tag a cui si fa riferimento nella policy di autorizzazioni IAM.

Ad esempio, supponiamo che tu sia proprietario di un servizio di streaming multimediale con un abbonamento gratuito e uno pagamento. Puoi archiviare i file multimediali in Amazon S3 e taggarli con tag gratuiti o premium. Puoi utilizzare gli attributi per il controllo dell'accesso per consentire l'accesso a contenuti gratuiti e a pagamento in base al livello di appartenenza dell'utente, che è parte del profilo dell'utente. È possibile eseguire la mappatura dell'attributo di appartenenza per una chiave di tag per il principal da passare alla policy di autorizzazioni IAM. In questo modo puoi creare una singola policy di autorizzazioni e consentire in modo condizionale l'accesso al contenuto premium in base al valore del livello di appartenenza e del tag nei file di contenuto.

Argomenti

L'uso degli attributi per controllare l'accesso offre molti vantaggi:

La gestione delle autorizzazioni è molto più efficiente quando si utilizzano gli attributi per il controllo degli accessi. È possibile creare una policy di autorizzazioni di base che utilizzi attributi utente anziché creare più policy per funzioni di lavori diversi.
Non è necessario aggiornare le policy ogni volta che si aggiungono o rimuovono risorse o utenti per l'applicazione. La policy di autorizzazione concede l'accesso solo agli utenti con gli attributi utente corrispondenti. Ad esempio, potrebbe essere necessario controllare l'accesso a determinati bucket S3 in base alla mansione degli utenti. In tal caso, puoi creare una policy di autorizzazioni per consentire l'accesso a questi file solo per gli utenti all'interno della mansione definita. Per ulteriori informazioni, consulta Tutorial IAM: Utilizzo dei tag di sessione SAML per ABAC.
Gli attributi possono essere passati come tag principali a una policy che consente o nega le autorizzazioni in base ai valori di tali attributi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Best practice di sicurezza

Utilizzo degli attributi per il controllo dell'accesso con i pool di identità di Amazon Cognito