Uso de atributos para controle de acesso com conjuntos de identidades do Amazon Cognito

Antes de usar atributos para controle de acesso, verifique se você atende aos seguintes pré-requisitos:

• Uma conta da AWS

• Grupo de usuários

• Grupo de identidades

• Configurar um SDK

• Provedores de identidades integrados

• Credenciais

Para usar atributos para controle de acesso, a Declaração que você define como fonte de dados define o valor da Chave de tag selecionada. O Amazon Cognito aplica a chave e o valor da tag à sessão do usuário. Suas políticas do IAM podem avaliar o acesso do usuário com base na condição ${aws:PrincipalTag/tagkey}. O IAM avalia o valor da tag do usuário em relação à política.

Você deve preparar perfis do IAM cujas credenciais você deseja passar aos usuários. A política de confiança desses perfis deve permitir que o Amazon Cognito assuma o perfil para o usuário. Quanto a atributos de controle de acesso, você também deve permitir que o Amazon Cognito aplique tags de entidade principal à sessão temporária do usuário. Conceda permissão para assumir o perfil com a ação AssumeRoleWithWebIdentity. Conceda permissão para marcar as sessões dos usuários com a ação somente com permissão sts:TagSession. Para receber mais informações, consulte Passar tags de sessão no AWS Security Token Service no Guia do usuário do AWS Identity and Access Management. Por ver um exemplo de política de confiança que concede as permissões sts:AssumeRoleWithWebIdentity e sts:TagSession à entidade principal do serviço Amazon Cognito cognito-identity.amazonaws.com, consulte Usar atributos para exemplo de política de controle de acesso.

Como configurar atributos para controle de acesso no console

1. Faça login no console do Amazon Cognito e selecione Bancos de identidades. Selecione um banco de identidades.

2. Selecione a guia Acesso do usuário.

3. Localize Provedores de identidade. Selecione o provedor de identidades a ser editado. Se você quiser adicionar um novo IdP, selecione Adicionar provedor de identidade.

4. Para alterar as tags de entidade principal que o Amazon Cognito atribui quando emite credenciais para usuários que se autenticaram com esse provedor, selecione Editar em Atributos para controle de acesso.

   1. Para não aplicar nenhuma tag de entidade principal, selecione Inativo.

   2. Para aplicar tags de entidade principal com base em declarações sub e aud, selecione Usar mapeamentos padrão.

   3. Para criar seu próprio esquema personalizado de atributos para as tags de entidade principal, selecione Usar mapeamentos personalizados. Depois, insira a Chave de tag que você deseja obter de cada declaração e representar em uma tag.

5. Selecione Save Changes (Salvar alterações).