Usar atributos para controle de acesso

Os atributos do controle de acesso correspondem à implementação de controle de acesso por atributo (ABAC) nos bancos de identidades do Amazon Cognito. Use as políticas do IAM para controlar o acesso a recursos da AWS por meio de conjuntos de identidades do Amazon Cognito baseados em atributos do usuário. Esses atributos podem ser extraídos de provedores de identidade social e corporativa. Você pode mapear atributos nos tokens de acesso e de ID dos provedores ou asserções SAML para tags que podem ser referenciadas nas políticas de permissões do IAM.

Você pode escolher mapeamentos padrão ou criar seus próprios mapeamentos personalizados nos conjuntos de identidades do Amazon Cognito. Os mapeamentos padrão permitem que você grave políticas do IAM com base em um conjunto fixo de atributos do usuário. Os mapeamentos personalizados permitem que você selecione um conjunto personalizado de atributos de usuário que são referenciados nas políticas de permissões do IAM. Os Attribute names (Nomes de atributo) no console do Amazon Cognito são mapeados para Tag key for principal (Chave de tag para entidade principal), que são as tags referenciadas na política de permissões do IAM.

Por exemplo, vamos supor que você tenha um serviço de transmissão de mídia com uma assinatura gratuita e paga. Você armazena os arquivos de mídia no Amazon S3 e os marca com tags gratuitas ou premium. Você pode usar atributos para controle de acesso a fim de permitir acesso a conteúdo gratuito e pago com base no nível de associação do usuário, que faz parte do perfil do usuário. Você pode mapear o atributo de associação para uma chave de tag para entidade principal a ser passada para a política de permissões do IAM. Dessa forma, você pode criar uma única política de permissões e permitir condicionalmente o acesso a conteúdo premium com base no valor do nível de associação e na tag dos arquivos de conteúdo.

Tópicos

Usar atributos para controlar o acesso traz vários benefícios:

O gerenciamento de permissões é mais eficiente quando você usa atributos para controle de acesso. Você pode criar uma política de permissões básicas que usa atributos de usuário em vez de criar várias políticas para funções de trabalho diferentes.
Você não precisa atualizar suas políticas sempre que adicionar ou remover recursos ou usuários da sua aplicação. A política de permissões só concederá acesso aos usuários com os atributos de usuário correspondentes. Por exemplo, talvez seja necessário controlar o acesso a determinados buckets do S3 com base no cargo dos usuários. Nesse caso, você pode criar uma política de permissões para permitir o acesso a esses arquivos somente para usuários dentro do cargo definido. Para obter mais informações, consulte Tutorial do IAM: Usar tags de sessão SAML para ABAC.
Os atributos podem ser passados como tags de entidades para uma política que permita ou negue permissões com base nos valores destes atributos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permissões e confiança de função

Uso de atributos para controle de acesso com conjuntos de identidades do Amazon Cognito