Aggiunta di gruppi a un bacino d'utenza - Amazon Cognito
Assegnazione di ruoli IAM ai gruppiAssegnazione dei valori di priorità ai gruppiUtilizzo di gruppi per controllare l'autorizzazione con Amazon API GatewayLimitazioni per i gruppiCreazione di un nuovo gruppo nella AWS Management Console

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiunta di gruppi a un bacino d'utenza

Il supporto per i gruppi nei bacini d'utenza di Amazon Cognito ti permette di creare e gestire gruppi e di aggiungere e rimuovere gli utenti dai gruppi. Utilizza i gruppi per creare raccolte di utenti e gestire le loro autorizzazioni o rappresentare diversi tipi di utenti. Puoi assegnare un ruolo AWS Identity and Access Management (IAM) a un gruppo per definire le autorizzazioni per i membri di un gruppo.

Puoi utilizzare i gruppi per creare una raccolta di utenti in un bacino d'utenza, operazione che spesso viene svolta per impostare le autorizzazioni di tali utenti. Ad esempio, è possibile creare gruppi separati per utenti che siano lettori, collaboratori e revisori del tuo sito Web e della tua app. Utilizzando il ruolo IAM associato a un gruppo, puoi impostare anche autorizzazioni diverse per questi diversi gruppi, in modo che solo i collaboratori possano inserire dei contenuti in Amazon S3 e solo gli editor possano pubblicare dei contenuti tramite un'API in Amazon API Gateway.

È possibile creare e gestire gruppi in un pool di utenti da AWS Management Console, le API e la CLI. In qualità di sviluppatore (utilizzando AWS le credenziali), puoi creare, leggere, aggiornare, eliminare ed elencare i gruppi per un pool di utenti. Puoi inoltre aggiungere e rimuovere gli utenti dai gruppi.

Non sono previsti costi aggiuntivi per l'utilizzo di gruppi all'interno di un bacino d'utenza. Per ulteriori informazioni, consulta Prezzi di Amazon Cognito.

Assegnazione di ruoli IAM ai gruppi

È possibile utilizzare i gruppi per controllare le autorizzazioni per le risorse utilizzando un ruolo IAM. I ruoli IAM includono policy di attendibilità e policy di autorizzazione. La policy di attendibilità del ruolo specifica chi può utilizzare il ruolo. Le policy di autorizzazioni specificano le operazioni e le risorse a cui i membri del gruppo possono accedere. Quando crei un ruolo IAM, imposta la policy di attendibilità del ruolo per consentire agli utenti del gruppo di assumere il ruolo. Nelle policy delle autorizzazioni del ruolo specificare le autorizzazioni che si desidera concedere al gruppo.

Quando crei un gruppo in Amazon Cognito, specifichi un ruolo IAM fornendo l'ARNdel ruolo. Quando i membri del gruppo accedono utilizzando Amazon Cognito, possono ricevere credenziali temporanee dai pool di identità. Le autorizzazioni sono determinate dal ruolo IAM associato.

I singoli utenti possono essere in più gruppi. In qualità di sviluppatore, hai a disposizione le seguenti opzioni per scegliere automaticamente il ruolo IAM quando un utente si trova in più gruppi:

  • Puoi assegnare i valori di priorità per ciascun gruppo. Verrà scelto il gruppo con la priorità migliore (più bassa) e sarà applicato il relativo ruolo IAM associato.

  • L'app può anche scegliere tra i ruoli disponibili quando richiede AWS le credenziali per un utente tramite un pool di identità, specificando un ruolo ARN nel parametro. GetCredentialsForIdentityCustomRoleARN Il ruolo IAM specificato deve corrispondere a un ruolo disponibile per l'utente.

Assegnazione dei valori di priorità ai gruppi

Un utente può appartenere a più di un gruppo. Nei token di accesso e ID dell’utente, l’attestazione cognito:groups contiene l'elenco di tutti i gruppi a cui un utente appartiene. L'attestazione cognito:roles contiene l'elenco dei ruoli corrispondenti ai gruppi.

Poiché un utente può appartenere a più di un gruppo, puoi assegnare una priorità a ciascun gruppo. Questo è un numero non negativo che specifica la priorità di questo gruppo rispetto agli altri gruppi ai quali un utente appartiene nel bacino d'utenza. Zero è il valore di priorità massimo. I gruppi con valori di priorità più bassi prevalgono sui gruppi con valori di priorità più alti o nulli. Se un utente appartiene a due o più gruppi, verrà scelto il gruppo il cui ruolo IAM abbia il valore di priorità più basso applicato all'attestazione cognito:preferred_role nel token ID dell'utente.

Due gruppi possono avere lo stesso valore di priorità. In questo caso nessun gruppo prevale sull'altro. Se due gruppi con lo stesso valore di priorità hanno lo stesso ruolo ARN, tale ruolo viene utilizzato nell'attestazione cognito:preferred_role nei token ID per gli utenti di ciascun gruppo. Se i due gruppi hanno diversi ruoli ARN, l'attestazione cognito:preferred_role non è impostata nei token ID degli utenti.

Utilizzo di gruppi per controllare l'autorizzazione con Amazon API Gateway

Puoi utilizzare i gruppi di un bacino d'utenza per controllare l'autorizzazione con Amazon API Gateway. I gruppi di cui un utente è membro sono inclusi sia nel token ID che nel token di accesso da un bacino d'utenza nell'attestazione cognito:groups. Puoi inviare ID o token di accesso con richieste ad Amazon API Gateway e utilizzare un autorizzazione del bacino d'utenza Amazon Cognito per un'API REST. Per ulteriori informazioni, consulta la sezione Control access to a REST API using Amazon Cognito user pools as authorizer (Controllo degli accessi a un'API REST utilizzando pool di utenti di Amazon Cognito come autorizzazione) nella Guida per sviluppatori di API Gateway.

È inoltre possibile autorizzare l'accesso a un'API HTTP di Amazon API Gateway con un'autorizzazione JWT personalizzata. Per ulteriori informazioni consulta la sezione Controlling access to HTTP APIs with JWT authorizers (Controllo dell'accesso alle API HTTP con le autorizzazioni JWT) nella Guida per gli sviluppatori dell’API Gateway.

Limitazioni per i gruppi

I gruppi di utenti sono soggetti alle seguenti limitazioni:

  • Il numero di gruppi che puoi creare è limitato dalle quote del servizio Amazon Cognito.

  • I gruppi non possono essere annidati.

  • Non puoi cercare gli utenti in un gruppo.

  • Non puoi cercare i gruppi per nome, ma puoi farne un elenco.

Creazione di un nuovo gruppo nella AWS Management Console

Per creare un nuovo gruppo, utilizza la procedura seguente.

Per creare un nuovo gruppo

  1. Passa alla console Amazon Cognito. Se richiesto, inserisci le tue credenziali. AWS

  2. Scegli User Pools (bacini d'utenza).

  3. Scegli un bacino d'utenza esistente dall'elenco.

  4. Scegli la scheda Groups (gruppi) quindi seleziona Create a group (crea gruppo).

  5. Nella pagina Create a group (Crea gruppo), sotto Group name (nome gruppo) inserisci un nome per il gruppo.

  6. Facoltativamente, è possibile fornire ulteriori informazioni su questo gruppo utilizzando uno dei seguenti campi:

    • Description (Descrizione) - Inserisci i dettagli sull'utilizzo futuro di questo nuovo gruppo.

    • Precedence (Priorità) - Amazon Cognito valuta e applica tutte le autorizzazioni di gruppo per un determinato utente in base ai gruppi a cui appartengono hanno un valore di precedenza inferiore. Verrà scelto il gruppo con la priorità più bassa e sarà applicato il relativo ruolo IAM associato. Per ulteriori informazioni, consulta Assegnazione dei valori di priorità ai gruppi.

    • Ruolo IAM - È possibile assegnare un ruolo IAM al gruppo quando è necessario controllare le autorizzazioni per le risorse. In caso di integrazione di un bacino d'utenza con un pool di identità, l'impostazione IAM role (ruolo IAM) determina il ruolo da assegnare nel token ID dell'utente se il pool di identità è configurato per la scelta del ruolo dal token. Per ulteriori informazioni, consulta Assegnazione di ruoli IAM ai gruppi.

    • Add users to this group (Aggiungi utenti a questo gruppo) - Aggiungi utenti esistenti come membri di questo gruppo dopo la creazione.

  7. Scegli Create (Crea) per confermare.