Publicado en: Jan 14, 2021
Los grupos de identidades de Amazon Cognito ahora permiten utilizar atributos de proveedores de identidad sociales y corporativos y simplificar los permisos de administración para los recursos de AWS.
En Amazon Cognito, puede elegir mapeos de etiquetas de atributos predefinidos o crear mapeos personalizados con los atributos de tokens de acceso o ID de proveedores corporativos y sociales o aserciones SAML. Posteriormente, puede hacer referencia a las etiquetas en las políticas de permisos de IAM de AWS para implementar el control de acceso basado en atributos (ABAC) y administrar el acceso a los recursos de AWS. Por ejemplo, suponga que tiene una aplicación de streaming de música y permite a los usuarios escuchar archivos de música en un bucket de S3. Si solo desea otorgar acceso de lectura a los usuarios federados de un proveedor social (es decir, Google) en lugar de otros proveedores, puede mapear el emisor de token a una etiqueta en los grupos de identidades de Amazon Cognito. Luego, puede hacer referencia a esta etiqueta en la política de permisos de IAM de AWS para permitir o denegar acciones. Si coloca los atributos de membresía en la declaración de condición dentro de las políticas de permisos de IAM de AWS y etiqueta estos archivos con el estado de miembro pagador coincidente, puede restringir aún más el acceso de lectura a música exclusiva para usuarios pagadores. Cualquier usuario nuevo con el emisor de token y los atributos de membresía coincidentes obtendrá acceso al bucket de S3 y a la música exclusiva automáticamente, sin actualización de permisos adicionales. Esto libera los complementos de la capacidad ABAC recientemente lanzada de AWS SSO que permite que utilice atributos de los empleados como etiquetas de una manera similar.
Los grupos de identidad de Amazon Cognito proporcionan credenciales de AWS con privilegios limitados y temporales para usuarios invitados y autenticados federados de proveedores de identidad. Estas credenciales circunscritas permiten que administre los permisos de acceso a los recursos de AWS.
Esta característica se encuentra disponible mediante la consola de grupos de identidad de Cognito, el SDK de AWS y la CLI de AWS en todas las regiones donde opera Amazon Cognito. Para obtener una lista de las regiones donde Amazon Cognito está disponible, consulte la tabla de regiones de AWS. Para obtener más información acerca de Amazon Cognito consulte la guía para desarrolladores y comience a través de nuestra página web.