Publié le: Jan 14, 2021
Amazon Cognito Identity Pools permet désormais d'utiliser les attributs des fournisseurs d'identité sociale et d'entreprise pour prendre des décisions de contrôle d'accès et simplifier la gestion des autorisations d'accès aux ressources AWS.
Dans Amazon Cognito, vous pouvez choisir les associations prédéfinies de balises et d'attributs ou créer des associations personnalisées en utilisant les attributs des jetons d'accès/d'identification des fournisseurs sociaux et d'entreprise ou des assertions SAML. Vous pouvez ensuite référencer les balises dans la politique d'autorisations AWS IAM pour mettre en œuvre un contrôle d'accès basé sur les attributs (ABAC) et gérer l'accès à vos ressources AWS. Par exemple, vous disposez d'une application de diffusion de musique en continu et vous permettez aux utilisateurs d'écouter des fichiers de musique dans un compartiment S3. Si vous souhaitez accorder un accès en lecture uniquement aux utilisateurs fédérés d'un fournisseur social (comme Google) plutôt qu'à ceux d'autres fournisseurs, vous pouvez associer l'attribut de l'émetteur du jeton à une balise dans Amazon Cognito Identity Pools. Vous pouvez ensuite faire référence à cette balise dans la politique d'autorisations AWS IAM pour autoriser ou refuser des actions. Vous pouvez restreindre davantage l'accès en lecture à la musique premium aux utilisateurs payants, en plaçant l'attribut d'adhésion dans l'énoncé des conditions de la politique d'autorisations AWS IAM et en marquant ces fichiers avec le statut de membre payant correspondant. Un nouvel utilisateur possédant l'émetteur de jeton et les attributs d'adhésion correspondants a automatiquement accès au compartiment S3 et à la musique premium sans mise à jour d'autorisations supplémentaires. Cette version complète la fonctionnalité ABAC récemment lancée d'AWS SSO qui permet d'utiliser les attributs des employés comme balises d'une manière similaire.
Amazon Cognito Identity Pools fournit des identifiants AWS temporaires à privilèges limités pour les utilisateurs authentifiés et invités fédérés des fournisseurs d'identité. Ces informations d'identification délimitées permettent de gérer les autorisations d'accès aux ressources AWS.
Cette fonctionnalité est disponible via la console Cognito Identity Pools, le kit SDK AWS et l'interface de ligne de commande (CLI) AWS dans toutes les régions où Amazon Cognito opère. Pour obtenir la liste des régions dans lesquelles Amazon Cognito est disponible, consultez le tableau des régions AWS. Pour en savoir plus sur Amazon Cognito, consultez le guide du développeur, et démarrez via notre page Web.