Amazon Cognito の ID プールを用いたアクセスコントロールへの属性の使用 - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Cognito の ID プールを用いたアクセスコントロールへの属性の使用

アクセスコントロールに属性を使用する前に、以下の前提条件を満たしていることを確認します。

アクセスコントロールに属性を使用するには、データソースとして設定したクレームによって、選択したタグキーの値が設定されます。Amazon Cognito はタグキーと値をユーザーのセッションに適用します。IAM ポリシーでは、${aws:PrincipalTag/tagkey} 条件からユーザーのアクセスを評価できます。IAM は、ユーザーのタグの値をポリシーに照らして評価します。

ユーザーに認証情報を渡したい IAM ロールを準備する必要があります。これらのロールの信頼ポリシーで、Amazon Cognito がユーザーのロールを引き継ぐことを許可されている必要があります。アクセスコントロール用の属性については、Amazon Cognito がユーザーの一時セッションにプリンシパルタグを適用することも許可しなければなりません。アクションAssumeRoleWithWebIdentity を使って、ロールを引き受ける権限を付与します。権限のみのアクション sts:TagSession を使って、ユーザーのセッションにタグを付ける権限を付与します。詳細については、「AWS Identity and Access Management ユーザーガイド」「AWS Security Token Service でのタグ付けの規則」を参照してください。たとえば、sts:AssumeRoleWithWebIdentity とsts:TagSession 権限をAmazon Cognito サービスプリンシパル cognito-identity.amazonaws.com に付与する信頼ポリシーの例については、「アクセスコントロールポリシーへの属性の使用例」を参照してください。

コンソールでアクセスコントロールの属性を無効にするには
  1. Amazon Cognito コンソールにサインインし、アイデンティティプールを選択します。アイデンティティプールを選択します。

  2. [ユーザーアクセス] タブを選択します。

  3. ID プロバイダーを見つけます。編集する ID プロバイダーを選択します。新しい IdP を追加する場合は、[ID プロバイダーを追加] を選択します。

  4. Amazon Cognito がこのプロバイダーで認証されたユーザーに認証情報を発行するときに割り当てるプリンシパルタグを変更するには、[アクセスコントロールの属性] で [編集] を選択します。

    1. プリンシパルタグを適用しない場合は、[非アクティブ] を選択します。

    2. sub および aud クレームに基づいてプリンシパルタグを適用するには、[デフォルトマッピングを使用] を選択します。

    3. プリンシパルタグへの属性の独自のカスタムスキーマを作成するには、[カスタムマッピングを使用] を選択します。次に、タグに表示したい各クレームから取得するタグキーを入力します。

  5. [Save Changes] (変更を保存) を選択します。