投稿日: Jan 14, 2021
Amazon Cognito ID プールでソーシャルおよび企業 ID プロバイダーのユーザー属性を使用して、アクセスコントロールに関する意思決定を行い、AWS リソースに対するアクセス許可の管理を簡素化することが可能になりました。
Amazon Cognito では、事前定義された属性とタグのマッピングを選択するか、ソーシャルまたは企業プロバイダーのアクセス/ID トークンまたは SAML アソシエーションの属性を使用してカスタムマッピングを作成することができます。その後、AWS IAM のアクセス許可ポリシーを参照し、属性ベースのアクセスコントロール (ABAC) を実装して、AWS リソースへのアクセスを管理できます。例えば、音楽ストリーミングアプリケーションを使用して S3 バケット内の音楽ファイルのストリーミング再生サービスをユーザーに提供できます。他のプロバイダーではなく、ソーシャルプロバイダー (Google など) からフェデレーションされたユーザーに読み取りアクセスだけを与える場合、トークン発行者属性を Amazon Cognito ID プールのタグにマップすることができます。その後、AWS IAM のアクセス許可ポリシー内のタグを参照して、アクションを許可または拒否できます。さらに、メンバーシップ属性を AWS IAM のアクセス許可ポリシーの条件ステートメントに配置し、一致する有料メンバーステータスでタグ付けすることによって、プレミアム音楽サービスへの読み取りアクセスを有料ユーザーに制限できます。トークン発行者とメンバーシップ属性が一致する新規ユーザーには、S3 バケットとプレミアム音楽サービスへのアクセスが自動的に付与されます。追加のアクセス許可の更新は必要ありません。このリリースは、同様の方法で従業員属性をタグとして使用することを目的に AWS SSO から最近提供開始された ABAC 機能を補完します。
Amazon Cognito ID プールは、ID プロバイダーからフェデレーションされた認証済みユーザーおよびゲストユーザーに制限付きの一時的な権限 AWS 認証情報を提供します。この制限付き認証情報を使用して、AWS リソースへのアクセス許可を管理できます。
この機能は、Amazon Cognito が提供されているすべてのリージョンで Cognito ID プールコンソール、AWS SDK、および AWS CLI から使用できます。Amazon Cognito を利用できるリージョンの一覧については、AWS リージョン表をご参照ください。Amazon Cognito の詳細については、開発者ガイドを参照してください。Amazon Cognito の使用を開始するには、Amazon Cognito のウェブページにアクセスしてください。