发布于: Jan 14, 2021
Amazon Cognito 身份池现在让您可以使用来自社交和企业身份提供商的属性,以便做出访问控制决策,并简化 AWS 资源的权限管理。
在 Amazon Cognito 中,您可以选择预定义的属性标签映射,也可以使用来自社交和企业提供商的访问/ID 令牌或 SAML 断言的属性来创建自定义映射。然后,您可以在 AWS IAM 权限策略中引用标签,以实施基于属性的访问控制 (ABAC) 并管理对 AWS 资源的访问。例如,您有一个音乐流应用程序,允许用户聆听 S3 存储桶中的音乐文件。如果您只想向社交提供商(如 Google)的联合用户而不向其他提供商的用户授予读取权限,则可以将令牌颁发者属性映射到 Amazon Cognito 身份池中的标签。然后,您可以在 AWS IAM 权限策略中引用此标签以允许或拒绝相关操作。通过将成员资格属性置于 AWS IAM 权限策略的条件语句中,并使用匹配的付费成员状态来标记这些文件,您可以进一步将高级音乐的读取访问限制给付费用户。任何具有匹配的令牌颁发者和成员资格属性的新用户都将自动获得对 S3 存储桶和高级音乐的访问权限,而无需额外的权限更新。此次发布补充了 AWS SSO 最近发布的 ABAC 功能,它允许您以类似的方式将员工属性用作标签。
Amazon Cognito 身份池为与身份提供商联合的经过身份验证和来宾用户提供了临时、有限权限的 AWS 凭证。这些作用域凭证可让您管理对 AWS 资源的访问权限。