Amazon Cognito の ID プールを用いたアクセスコントロールへの属性の使用 - Amazon Cognito

Amazon Cognito の ID プールを用いたアクセスコントロールへの属性の使用

重要

現在、Amazon Cognito ユーザープールの新しいコンソールに移行した場合でも、元のコンソールで Amazon Cognito ID プールを設定する必要があります。新しいコンソールで、[フェデレーティッドアイデンティティ] を選択して、ID プールコンソールに移動します。

アクセスコントロールに属性を使用する前に、以下の前提条件を満たしていることを確認します。

アクセスコントロールに属性を使用するには、プリンシパルのタグキー属性名を設定する必要があります。プリンシパルのタグキーでは、許可ポリシーの PrincipalTag 条件に一致させるために値が使用されます。属性名の値は、ポリシーで値が評価される属性の名前です。

ID プールを用いたアクセスコントロールに属性を使用する

  1. Amazon Cognito コンソールを開きます。

  2. [Manage Identity Pools (ID プールの管理)] を選択します。

  3. ダッシュボードで、アクセスコントロールに属性を使用する ID プールの名前を選択します。

  4. [Edit identity pool] (ID プールの編集) をクリックします。

  5. [Authentication providers] セクションを展開します。

  6. [Authentication providers] (認証プロバイダー) セクションで、使用するプロバイダーのタブを選択します。

  7. [Attributes for access control] (アクセスコントロールの属性) で、[Default attribute mappings] (デフォルト属性マッピング) または [Custom attribute mappings] (カスタム属性マッピング) のいずれかを選択します。デフォルトマッピングは、プロバイダーに応じて異なります。詳細については、「デフォルトのプロバイダーマッピング」でアクセスコントロールの属性を参照してください。

  8. [Custom attribute mappings] (カスタム属性マッピング) を選択する場合は、以下のステップを完了します。

    1. [Tag Key for Principal] (プリンシパルのタグキー) にカスタムテキストを入力します。これの最大長は 128 文字です。

    2. [Attribute name] (属性名) に、プロバイダーのトークン、または SAML アサーションからの属性名を入力します。IdPs の属性名は、プロバイダーのデベロッパーガイドから取得できます。属性名は最大 256 文字です。さらに、すべての属性の総計文字数には 460 バイトの制限があります。

    3. (オプション) [Add another provider] (別のプロバイダーを追加)。コンソールで、複数の Amazon Cognito ユーザープールのプロバイダー、OIDC プロバイダー、および SAML プロバイダーを追加できます。例えば、2 つの Amazon Cognito ユーザープールを 2 つの個別の ID プロバイダーとして追加できます。Amazon Cognitoでは、各タブを異なる IdPs として扱います。アクセスコントロールの属性は、IdP ごとに個別に設定できます。

    4. 完了するには、IAM コンソールを使用して、デフォルトマッピング、または [Tag Key for Principal] (プリンシパルのタグキー) で指定したカスタムテキストマッピングが含まれる許可ポリシーを作成します。IAM での許可ポリシーの作成に関するチュートリアルについては、IAM ユーザーガイドの「IAM チュートリアル: タグに基づいて AWS リソースにアクセスするためのアクセス許可を定義する」を参照してください。