Tutorial: como criar um grupo de identidades - Amazon Cognito
Recursos relacionados

Tutorial: como criar um grupo de identidades

Com um grupo de identidades, os usuários podem obter credenciais temporárias da AWS para acessar serviços da AWS, como o Amazon S3 e o DynamoDB.

New console
Para criar um novo grupo de identidades no console

  1. Faça login no console do Amazon Cognito e selecione Bancos de identidades.

  2. Selecione Criar banco de identidades.

  3. Em Configurar confiança do banco de identidades, opte por configurar seu banco de identidades para Acesso autenticado, Acesso de convidado ou ambos.

    1. Se você selecionou Acesso autenticado, escolha um ou mais Tipos de identidade que você deseja definir como origem de identidades autenticadas no banco de identidades. Se você configurar um Provedor de desenvolvedor personalizado, não poderá modificá-lo nem o excluir depois de criar o banco de identidades.

  4. Em Configurar permissões, selecione um perfil padrão do IAM para usuários autenticados ou convidados em seu banco de identidades.

    1. Selecione Criar um perfil do IAM se quiser que o Amazon Cognito crie um perfil para você com permissões básicas e uma relação de confiança com seu banco de identidades. Insira um Nome de perfil do IAM para identificar seu novo perfil; por exemplo, myidentitypool_authenticatedrole. Selecione Visualizar documento de política para examinar as permissões que o Amazon Cognito atribuirá ao novo perfil do IAM.

    2. Você pode optar por Usar um perfil do IAM existente se já tiver um perfil em sua Conta da AWS que deseja usar. Você deve configurar sua política de confiança de perfis do IAM para incluir cognito-identity.amazonaws.com. Configure sua política de confiança de perfil para permitir que o Amazon Cognito assuma o perfil somente quando apresentar evidências de que a solicitação se originou de um usuário autenticado em seu banco de identidades específico. Para obter mais informações, consulte Permissões e confiança de função.

  5. Em Conectar provedores de identidade, insira os detalhes dos provedores de identidades (IdPs) que você selecionou em Configurar a confiança do banco de identidades. Você pode receber uma solicitação para fornecer informações do cliente da aplicação OAuth, selecionar um grupo de usuários do Amazon Cognito, escolher um IdP do IAM ou inserir um identificador personalizado para um provedor de desenvolvedor.

    1. Selecione Configurações de perfil para cada IdP. Você pode atribuir aos usuários desse IdP o Perfil padrão que você configurou ao definir seu Perfil autenticado ou Escolher perfil com regras. Com um IdP de grupo de usuários do Amazon Cognito, você também pode Escolher perfil com preferred_role em tokens. Para ter mais informações sobre a declaração cognito:preferred_role, consulte Como atribuir valores de precedência a grupos.

      1. Se você escolheu Escolher perfil com regras, insira a Declaração de origem da autenticação do usuário, o Operador pelo qual você deseja comparar a declaração, o Valor que gerará uma correspondência com essa opção de perfil e o Perfil que você deseja atribuir quando houver correspondência com a Atribuição de perfil. Selecione Adicionar outra para criar uma regra adicional com base em uma condição diferente.

      2. Selecione uma Resolução de perfil. Quando as declarações do usuário não correspondem às suas regras, você pode negar ou emitir credenciais para seu Perfil autenticado.

    2. Configure Atributos para controle de acesso para cada IdP. Os atributos para controle de acesso correlacionam as declarações do usuário com as tags de entidade principal que o Amazon Cognito aplica à sua sessão temporária. Você pode criar políticas do IAM para filtrar o acesso do usuário com base nas tags aplicadas à sessão.

      1. Para não aplicar nenhuma tag de entidade principal, selecione Inativo.

      2. Para aplicar tags de entidade principal com base em declarações sub e aud, selecione Usar mapeamentos padrão.

      3. Para criar seu próprio esquema personalizado de atributos para as tags de entidade principal, selecione Usar mapeamentos personalizados. Depois, insira a Chave de tag que você deseja obter de cada declaração e representar em uma tag.

  6. Em Configurar propriedades, insira um Nome em Nome do banco de identidades.

  7. Em Autenticação básica (clássica), escolha se você deseja Ativar fluxo básico. Com o fluxo básico ativo, você pode ignorar as seleções de perfis feitas para seus IdPs e chamar AssumeRoleWithWebIdentity diretamente. Para obter mais informações, consulte Fluxo de autenticação dos grupos de identidades (identidades federadas).

  8. Em Tags, selecione Adicionar tag se quiser aplicar tags ao banco de identidades.

  9. Em Revisar e criar, confirme as seleções que você fez para o novo banco de identidades. Selecione Editar para retornar ao assistente e alterar as configurações. Quando terminar, selecione Criar banco de identidades.

Original console
Para criar um grupo de identidades

  1. Acesse o console do Amazon Cognito. Se solicitado, insira suas credenciais da AWS.

  2. Escolha Manage Identity Pools (Gerenciar grupos de identidades).

  3. Escolha Create new identity pool (Criar novo grupo de identidades).

  4. Insira um nome para o grupo de identidades.

  5. Para habilitar identidades não autenticadas, selecione Enable access to unauthenticated identities (Habilitar acesso a identidades não autenticadas) na seção expansível Unauthenticated identities (Identidades não autenticadas).

  6. Escolha Create Pool (Criar grupo).

  7. Você deverá fornecer acesso aos seus recursos da AWS.

    Selecione Allow (Permitir) para criar as duas funções padrão associadas ao grupo de identidades: uma para usuários não autenticados e uma para usuários autenticados. Essas funções padrão oferecem acesso ao Amazon Cognito Sync. para o grupo de identidades. É possível modificar as funções associadas ao grupo de identidades no console do IAM.

  8. Anote o número de ID do grupo de identidades. Você poderá usá-lo para configurar políticas que permitirão que os usuários da aplicação acessem outros serviços da AWS, como o Amazon Simple Storage Service ou DynamoDB

Para obter mais informações sobre grupos de identidades, consulte Grupos de identidades do Amazon Cognito (identidades federadas).

Para um exemplo do uso de um grupo de identidades com o Amazon S3, consulte Carregar fotos para o Amazon S3 a partir de um navegador.