속성 기반 액세스 제어의 형태로 액세스 제어에 속성 사용 - Amazon Cognito

속성 기반 액세스 제어의 형태로 액세스 제어에 속성 사용

IAM 정책을 사용하여 사용자 속성을 기반으로 Amazon Cognito 자격 증명 풀을 통한 AWS 리소스 액세스를 제어할 수 있습니다. 이러한 속성은 소셜 및 기업 자격 증명 공급자에서 가져올 수 있습니다. 공급자의 액세스 및 ID 토큰 또는 SAML 어설션 내의 속성을 IAM 권한 정책에서 참조되는 태그에 매핑할 수 있습니다.

Amazon Cognito 자격 증명 풀에서 기본 매핑을 선택하거나 사용자 지정 매핑을 생성할 수 있습니다. 기본 매핑을 사용하면 고정된 사용자 속성 세트를 기반으로 IAM 정책을 작성할 수 있습니다. 사용자 지정 매핑을 사용하면 IAM 권한 정책에서 참조되는 사용자 속성 세트를 선택할 수 있습니다. Amazon Cognito 콘솔의 속성 이름이 IAM 권한 정책에서 참조되는 태그인 보안 주체의 태그 키에 매핑됩니다.

예를 들어 무료 멤버십과 유료 멤버십으로 미디어 스트리밍 서비스를 보유하고 있다고 가정해 보겠습니다. 미디어 파일을 Amazon S3에 저장하고 무료 또는 프리미엄 태그로 태깅합니다. 액세스 제어에 속성을 사용하여 사용자 프로파일의 일부인 사용자 멤버십 수준에 따라 무료 및 유료 콘텐츠에 대한 액세스를 허용할 수 있습니다. IAM 권한 정책에 전달될 보안 주체의 태그 키에 멤버십 속성을 매핑할 수 있습니다. 이렇게 하면 단일 권한 정책을 생성하고 콘텐츠 파일의 멤버십 수준 및 태그 값에 따라 프리미엄 콘텐츠에 대한 액세스를 조건부로 허용할 수 있습니다.

속성을 사용하여 액세스를 제어하면 여러 가지 장점이 있습니다.

  • 액세스 제어에 특성을 사용하면 권한 관리가 더 쉬워집니다. 직무별로 여러 개의 정책을 만드는 대신 사용자 속성을 사용하는 기본 권한 정책을 만들 수 있습니다.

  • 애플리케이션에 리소스 또는 사용자를 추가하거나 제거할 때마다 정책을 업데이트할 필요가 없습니다. 권한 정책은 일치하는 사용자 속성을 가진 사용자에게만 액세스 권한을 부여합니다. 예를 들어 사용자의 직책에 따라 특정 S3 버킷에 대한 액세스를 제어해야 할 수 있습니다. 이 경우 정의된 작책 내의 사용자만 이러한 파일에 액세스하도록 허용하는 권한 정책을 생성할 수 있습니다. 자세한 내용은 IAM 자습서: ABAC에 SAML 세션 태그 사용을 참조하세요.

  • 해당 속성의 값에 따라 권한을 허용하거나 거부하는 정책에 속성을 보안 주체 태그로 전달할 수 있습니다.