Veröffentlicht am: Jan 14, 2021
Mit Amazon Cognito Identity Pools können Sie jetzt Attribute von sozialen und Unternehmensidentitätsanbietern verwenden, um Entscheidungen zur Zugriffskontrolle zu treffen und die Berechtigungsverwaltung für AWS-Ressourcen zu vereinfachen.
In Amazon Cognito können Sie entweder vordefinierte Attribut-Tag-Zuordnungen auswählen oder benutzerdefinierte Zuordnungen mithilfe der Attribute aus den Zugriffs- / ID-Token von sozialen und Unternehmensanbietern oder SAML-Assertionen erstellen. Anschließend können Sie auf die Tags in der AWS IAM-Berechtigungsrichtlinie verweisen, um die attributbasierte Zugriffskontrolle (ABAC) zu implementieren und den Zugriff auf Ihre AWS-Ressourcen zu verwalten. Sie haben beispielsweise eine Musik-Streaming-Anwendung und lassen Benutzer Musikdateien in einem S3-Bucket anhören. Wenn Sie nur Benutzern, die über einen sozialen Anbieter (d. H. Google) verbunden sind, Lesezugriff gewähren möchten, anstatt Benutzern von anderen Anbietern, können Sie das Attribut des Token-Ausstellers einem Tag in Amazon Cognito Identity Pools zuordnen. Sie können dann auf dieses Tag in der AWS IAM-Berechtigungsrichtlinie verweisen, um Aktionen zuzulassen oder abzulehnen. Sie können den Lesezugriff auf Premium-Musik weiter auf bezahlte Benutzer beschränken, indem Sie das Mitgliedschaftsattribut in die Bedingungsaussage in der AWS IAM-Berechtigungsrichtlinie einfügen und diese Dateien mit dem entsprechenden Status des zahlenden Mitglieds versehen. Alle neuen Benutzer mit den entsprechenden Token-Aussteller- und Mitgliedschaftsattributen erhalten automatisch Zugriff auf den S3-Bucket und Premium-Musik, ohne dass zusätzliche Berechtigungen aktualisiert werden. Diese Version ergänzt die kürzlich eingeführte ABAC-Funktion von AWS SSO, mit der Sie Mitarbeiterattribute auf ähnliche Weise als Tags verwenden können.
Amazon Cognito Identity Pools bietet temporäre AWS-Anmeldeinformationen mit eingeschränkten Berechtigungen für authentifizierte Benutzer und Gastbenutzer, die mit Identitätsanbietern verbunden wurden. Mit diesen beschränkten Anmeldeinformationen können Sie Zugriffsberechtigungen für AWS-Ressourcen verwalten.
Diese Funktion ist über die Cognito Identity Pools-Konsole, das AWS SDK und die AWS CLI in allen Regionen verfügbar, in denen Amazon Cognito tätig ist. Die Regionen, in denen Amazon Cognito verfügbar ist, können Sie der AWS-Regionentabelle entnehmen. Mehr über Amazon Cognito erfahren Sie im Developer Guide und die ersten Schritte über unsere Webseite.