Amazon Cognito 자격 증명 풀에서 액세스 제어에 속성 사용 - Amazon Cognito

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Cognito 자격 증명 풀에서 액세스 제어에 속성 사용

액세스 제어에 속성을 사용하려면 먼저 다음 사전 요구 사항을 충족해야 합니다.

액세스 제어를 위한 속성을 사용하기 위해서는 데이터 세트 소스로 설정한 클레임이 선택한 태그 키의 값을 설정합니다. Amazon Cognito는 태그 키와 값을 사용자 세션에 적용합니다. IAM 정책은 ${aws:PrincipalTag/tagkey} 조건을 통해 사용자의 액세스를 평가할 수 있습니다. IAM은 정책과 비교하여 사용자 태그의 값을 평가합니다.

보안 인증 정보를 사용자에게 전달할 IAM 역할을 준비해야 합니다. 이러한 역할의 신뢰 정책에서 Amazon Cognito가 사용자에 대한 역할을 맡을 수 있도록 허용해야 합니다. 액세스 제어 속성의 경우 Amazon Cognito가 사용자 임시 세션에 보안 주체 태그를 적용할 수 있도록 허용해야 합니다. AssumeRoleWithWebIdentity 작업을 통해 이러한 역할을 맡을 수 있는 권한을 부여합니다. 권한 전용 작업 sts:TagSession을 사용하여 사용자 세션에 태그를 지정할 수 있는 권한을 부여합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서AWS Security Token Service에서 세션 태그 전달을 참조하세요. Amazon Cognito 서비스 보안 주체 cognito-identity.amazonaws.com에 sts:AssumeRoleWithWebIdentity 및 sts:TagSession 권한을 부여하는 신뢰 정책의 예는 액세스 제어에 속성 사용 정책 예 섹션을 참조하세요.

콘솔에서 액세스 제어를 위한 속성을 구성하려면

  1. Amazon Cognito 콘솔에 로그인하고 자격 증명 풀을 선택합니다. 자격 증명 풀을 선택합니다.

  2. 사용자 액세스 탭을 선택합니다.

  3. ID 제공업체를 찾습니다. 편집할 ID 제공업체를 선택합니다. 새 IdP를 추가하려면 ID 제공업체 추가를 선택합니다.

  4. Amazon Cognito가 이 공급자를 통해 인증한 사용자에게 보안 인증을 발급할 때 할당하는 보안 주체 태그를 변경하려면 액세스 제어를 위한 속성에서 편집을 선택합니다.

    1. 보안 주체 태그를 적용하지 않으려면 비활성을 선택합니다.

    2. sub 및 aud 클레임 기반 보안 주체 태그를 적용하려면 기본 매핑 사용을 선택합니다.

    3. 보안 주체 태그에 대한 속성의 자체 사용자 지정 스키마를 생성하려면 사용자 지정 매핑 사용을 선택합니다. 그런 다음 태그에 표시하려는 각 클레임에서 소싱하려는 태그 키를 입력합니다.

  5. 변경 사항 저장(Save changes)을 선택합니다.