Amazon Verified Permissions 자격 증명 소스 생성 - Amazon Verified Permissions
아마존 Cognito 자격 증명 소스OIDCID 소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Verified Permissions 자격 증명 소스 생성

다음 절차는 기존 정책 저장소에 자격 증명 소스를 추가합니다. ID 소스를 추가한 후에는 스키마에 속성을 추가해야 합니다.

Verified Permissions 콘솔에서 새 정책 저장소를 생성할 때 ID 소스를 생성할 수도 있습니다. 이 프로세스에서 ID 소스 토큰의 클레임을 자동으로 엔티티 속성으로 가져올 수 있습니다. 가이드 설정 또는 API 게이트웨이 및 ID 제공자로 설정 옵션을 선택합니다. 또한 이러한 옵션은 초기 정책을 생성합니다.

참고

정책 스토어를 생성하기 전에는 왼쪽 탐색 창에서 자격 증명 소스를 사용할 수 없습니다. 생성한 자격 증명 소스는 현재 정책 스토어와 연결됩니다.

AWS CLI 또는 CreateIdentitySource유효성이 확인된 권한으로 create-identity-sourceID 소스를 만들 때는 보안 주체 유형을 생략할 수 API 있습니다. 하지만 엔티티 유형이 비어 있으면 엔티티 유형이 인 ID 소스가 생성됩니다AWS::Cognito. 이 엔티티 이름은 정책 저장소 스키마와 호환되지 않습니다. Amazon Cognito ID를 정책 스토어 스키마와 통합하려면 보안 주체 유형을 지원되는 정책 저장소 엔티티로 설정해야 합니다.

아마존 Cognito 자격 증명 소스

AWS Management Console
Amazon Cognito 사용자 풀 자격 증명 소스를 생성하려면

  1. 에서 검증된 권한 콘솔을 https://console.aws.amazon.com/verifiedpermissions/여십시오. 정책 저장소를 선택합니다.

  2. 왼쪽 탐색 창에서 자격 증명 소스를 선택합니다.

  3. 자격 증명 소스 생성을 선택합니다.

  4. Cognito 사용자 풀 세부 정보에서 자격 증명 소스의 사용자 풀 ID를 AWS 리전 선택하고 입력합니다.

  5. 기본 구성에서 ID 소스의 보안 주체 유형을 선택합니다. 연결된 Amazon Cognito 사용자 풀의 자격 증명은 선택한 보안 주체 유형에 매핑됩니다.

  6. 그룹 구성에서 사용자 풀 cognito:groups 클레임을 매핑하려면 Cognito group 사용을 선택합니다. 주도자 유형의 상위 항목인 엔티티 유형을 선택합니다.

  7. 클라이언트 응용 프로그램 검증에서 클라이언트 응용 프로그램을 검증할지 여부를 선택합니다IDs.

    • 클라이언트 애플리케이션을 IDs 검증하려면 일치하는 클라이언트 애플리케이션이 있는 토큰만 수락을 선택합니다IDs. 검증할 각 클라이언트 애플리케이션 ID에 대해 새 클라이언트 애플리케이션 ID 추가를 선택합니다. 추가된 클라이언트 애플리케이션 ID를 제거하려면 클라이언트 애플리케이션 ID 옆의 제거를 선택합니다.

    • 클라이언트 애플리케이션을 검증하지 IDs 않으려면 [클라이언트 애플리케이션 검증 안 함] 을 선택합니다IDs.

  8. 자격 증명 소스 생성을 선택합니다.

  9. 자격 증명 또는 액세스 토큰에서 추출한 속성을 Cedar 정책에서 참조하려면 먼저 자격 증명 소스가 생성하는 보안 주체 유형을 Cedar가 인식하도록 스키마를 업데이트해야 합니다. 스키마에 추가되는 항목에는 Cedar 정책에서 참조하려는 속성이 포함되어야 합니다. Amazon Cognito 토큰 속성을 Cedar 보안 주체 속성에 매핑하는 방법에 대한 자세한 내용은 ID 제공자 토큰을 스키마에 매핑을(를) 참조하세요.

    API연결된 정책 저장소를 생성하면 Verified Permissions는 사용자 풀에서 사용자 속성을 쿼리하고 보안 주체 유형이 사용자 풀 속성으로 채워지는 스키마를 생성합니다.

AWS CLI
Amazon Cognito 사용자 풀 자격 증명 소스를 생성하려면

작업을 사용하여 ID 원본을 만들 수 있습니다. CreateIdentitySource 다음 예제는 Amazon Cognito 사용자 풀의 인증된 자격 증명에 액세스할 수 있는 자격 증명 소스를 생성합니다.

다음 config.txt 파일에는 create-identity-source 명령의 --configuration 파라미터가 사용할 수 있는 Amazon Cognito 사용자 풀의 세부 정보가 들어 있습니다.

{
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

명령:

$ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

자격 증명 또는 액세스 토큰에서 추출한 속성을 Cedar 정책에서 참조하려면 먼저 자격 증명 소스가 생성하는 보안 주체 유형을 Cedar가 인식하도록 스키마를 업데이트해야 합니다. 스키마에 추가되는 항목에는 Cedar 정책에서 참조하려는 속성이 포함되어야 합니다. Amazon Cognito 토큰 속성을 Cedar 보안 주체 속성에 매핑하는 방법에 대한 자세한 내용은 ID 제공자 토큰을 스키마에 매핑을(를) 참조하세요.

API연결된 정책 저장소를 생성하면 Verified Permissions는 사용자 풀에서 사용자 속성을 쿼리하고 보안 주체 유형이 사용자 풀 속성으로 채워지는 스키마를 생성합니다.

Verified Permissions에서 인증된 사용자를 위한 Amazon Cognito 액세스 및 자격 증명 토큰을 사용하는 방법에 대한 자세한 내용은 Amazon Cognito 개발자 안내서Amazon Verified Permissions를 통한 권한 부여를 참조하세요.

OIDCID 소스

AWS Management Console
OpenID Connect (OIDC) 아이덴티티 소스를 만들려면

  1. 에서 검증된 권한 콘솔을 https://console.aws.amazon.com/verifiedpermissions/여십시오. 정책 저장소를 선택합니다.

  2. 왼쪽 탐색 창에서 자격 증명 소스를 선택합니다.

  3. 자격 증명 소스 생성을 선택합니다.

  4. 외부 OIDC 공급자를 선택합니다.

  5. 발급자에 URL URL 발급자의 이름을 입력합니다. OIDC 이는 권한 부여 서버, 서명 키 및 제공자에 대한 기타 정보 (예:) 를 제공하는 서비스 엔드포인트입니다. https://auth.example.com 발급자는 에서 OIDC /.well-known/openid-configuration 검색 문서를 URL 호스팅해야 합니다.

  6. 토큰 유형에서 신청서가 승인을 위해 제출하려는 유형을 선택합니다. OIDC JWT 자세한 내용은 ID 제공자 토큰을 스키마에 매핑 단원을 참조하십시오.

  7. 사용자 및 그룹 클레임에서 ID 소스에 대한 사용자 엔티티사용자 클레임을 선택합니다. 사용자 엔티티는 OIDC 공급자의 사용자에게 참조하려는 정책 저장소의 엔티티입니다. 사용자 클레임은 일반적으로 sub 평가 대상 엔티티의 고유 식별자를 보유한 ID 또는 액세스 토큰에서 제기되는 클레임입니다. 연결된 OIDC IdP의 ID가 선택한 주 유형에 매핑됩니다.

  8. 사용자 및 그룹 클레임에서 ID 소스에 대한 그룹 엔티티와 그룹 클레임을 선택합니다. 그룹 엔티티는 사용자 엔티티의 상위 엔티티입니다. 그룹 클레임은 이 엔티티에 매핑됩니다. 그룹 클레임은 일반적으로 groups ID 또는 액세스 토큰에서 제기되는 클레임으로JSON, 평가 대상 엔티티의 사용자 그룹 이름 문자열 또는 공백으로 구분된 문자열을 포함합니다. 연결된 OIDC IdP의 ID가 선택한 주 유형에 매핑됩니다.

  9. Audience 유효성 검사에서 정책 저장소가 승인 요청에서 수락하도록 하려는 클라이언트 IDs 또는 대상 (URLs있는 경우) 을 입력합니다.

  10. 자격 증명 소스 생성을 선택합니다.

  11. 자격 증명 소스가 생성하는 보안 주체 유형을 Cedar가 인식하도록 스키마를 업데이트하십시오. 스키마에 추가되는 항목에는 Cedar 정책에서 참조하려는 속성이 포함되어야 합니다. Amazon Cognito 토큰 속성을 Cedar 보안 주체 속성에 매핑하는 방법에 대한 자세한 내용은 ID 제공자 토큰을 스키마에 매핑을(를) 참조하세요.

    API연결된 정책 저장소를 생성하면 Verified Permissions는 사용자 풀에서 사용자 속성을 쿼리하고 보안 주체 유형이 사용자 풀 속성으로 채워지는 스키마를 생성합니다.

AWS CLI
ID 소스를 만들려면 OIDC

CreateIdentitySource작업을 사용하여 ID 소스를 만들 수 있습니다. 다음 예제는 Amazon Cognito 사용자 풀의 인증된 자격 증명에 액세스할 수 있는 자격 증명 소스를 생성합니다.

다음 config.txt 파일에는 명령의 --configuration 매개 변수에서 사용할 수 있는 OIDC IdP의 세부 정보가 들어 있습니다. create-identity-source 이 예제는 ID 토큰의 OIDC ID 소스를 만듭니다.

{
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "identityTokenOnly": {
                        "clientIds":["1example23456789"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

다음 config.txt 파일에는 명령의 --configuration 매개 변수에서 사용할 수 있는 OIDC IdP의 세부 정보가 들어 있습니다. create-identity-source 이 예제에서는 액세스 토큰의 OIDC ID 소스를 생성합니다.

{
    "openIdConnectConfiguration": {
        "issuer": "https://auth.example.com",
        "tokenSelection": {
                "accessTokenOnly": {
                        "audiences":["https://auth.example.com"],
                        "principalIdClaim": "sub"
                },
        },
        "entityIdPrefix": "MyOIDCProvider",
        "groupConfiguration": {
              "groupClaim": "groups",
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

명령:

$ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

자격 증명 또는 액세스 토큰에서 추출한 속성을 Cedar 정책에서 참조하려면 먼저 자격 증명 소스가 생성하는 보안 주체 유형을 Cedar가 인식하도록 스키마를 업데이트해야 합니다. 스키마에 추가되는 항목에는 Cedar 정책에서 참조하려는 속성이 포함되어야 합니다. Amazon Cognito 토큰 속성을 Cedar 보안 주체 속성에 매핑하는 방법에 대한 자세한 내용은 ID 제공자 토큰을 스키마에 매핑을(를) 참조하세요.

API연결된 정책 저장소를 생성하면 Verified Permissions는 사용자 풀에서 사용자 속성을 쿼리하고 보안 주체 유형이 사용자 풀 속성으로 채워지는 스키마를 생성합니다.