Amazon Cognito 자격 증명 풀에서 액세스 제어에 속성 사용 - Amazon Cognito

Amazon Cognito 자격 증명 풀에서 액세스 제어에 속성 사용

중요

현재 Amazon Cognito 사용자 풀의 새 콘솔로 마이그레이션한 경우에도 기존 콘솔에서 Amazon Cognito 자격 증명 풀을 구성해야 합니다. 새 콘솔에서 페더레이션 자격 증명(Federated identities)을 선택하여 자격 증명 풀 콘솔로 이동합니다.

액세스 제어에 속성을 사용하려면 먼저 다음 사전 요구 사항을 충족해야 합니다.

액세스 제어에 속성을 사용하려면 보안 주체의 태그 키속성 이름을 구성해야 합니다. [보안 주체의 태그 키(Tag Key for Principal)]의 값은 권한 정책에서 PrincipalTag 조건과 대조하는 데 사용됩니다. [속성 이름(Attribute name)]의 값은 정책에서 값이 평가되는 속성의 이름입니다.

자격 증명 풀을 사용한 액세스 제어에 속성 사용

  1. Amazon Cognito 콘솔을 엽니다.

  2. Manage Identity Pools(자격 증명 풀 관리)를 선택합니다.

  3. 대시보드에서 액세스 제어에 속성을 사용할 자격 증명 풀의 이름을 선택합니다.

  4. 자격 증명 풀 편집을 선택합니다.

  5. 인증 공급자(Authentication providers) 섹션을 확장합니다.

  6. [인증 공급자(Authentication providers)] 섹션에서 사용할 공급자 탭을 선택합니다.

  7. [액세스 제어에 대한 속성(Attributes for access control)]에서 [기본 속성 매핑(Default attribute mappings)] 또는 [사용자 지정 속성 매핑(Custom attribute mappings)]을 선택합니다. 기본 매핑은 공급자마다 다릅니다. 자세한 내용은 기본 공급자 매핑에서 액세스 제어에 대한 속성을 참조하세요.

  8. [사용자 지정 속성 매핑(Custom attribute mappings)]을 선택한 경우 다음 단계를 완료합니다.

    1. [보안 주체의 태그 키(Tag Key for Principal)]에 사용자 지정 텍스트를 입력합니다. 최대 길이는 128자입니다.

    2. [속성 이름(Attribute name)]에 공급자 토큰 또는 SAML 어설션의 속성 이름을 입력합니다. 공급자 개발자 가이드에서 IdP의 속성 이름을 확인할 수 있습니다. 속성 이름은 최대 256자로 지정할 수 있습니다. 또한 모든 속성의 집계된 문자 한도는 460바이트입니다.

    3. (선택 사항) 다른 공급자를 추가합니다. 콘솔에서 Amazon Cognito 사용자 풀, OIDC 및 SAML 공급자에 대해 여러 공급자를 추가할 수 있습니다. 예를 들어 2개의 Amazon Cognito 사용자 풀을 별개의 자격 증명 공급자로 추가할 수 있습니다. Amazon Cognito는 각 탭을 서로 다른 IdP로 취급합니다. 각 IdP별로 액세스 제어에 대한 속성을 개별적으로 구성할 수 있습니다.

    4. 마치려면 IAM 콘솔을 사용하여 기본 매핑 또는 [보안 주체의 태그 키(Tag Key for Principal)]에서 제공한 기본 매핑 또는 사용자 지정 텍스트 매핑을 포함하는 권한 정책을 생성합니다. IAM에서 권한 정책을 생성하는 방법에 대한 자습서는 IAM 사용 설명서에서 IAM 자습서: 태그를 기반으로 AWS 리소스에 액세스할 수 있는 권한 정의를 참조하세요.