게시된 날짜: Jan 14, 2021
Amazon Cognito 자격 증명 풀을 사용하면 이제 소셜 및 기업 자격 증명 제공자의 속성을 사용하여 액세스 제어 결정을 내리고 AWS 리소스에 대한 권한 관리를 간소화할 수 있습니다.
Amazon Cognito에서 사용자는 사전 정의된 속성-태그 매핑을 선택하거나 소셜 및 기업 제공자의 액세스/ID 토큰 또는 SAML 어설션을 사용하여 사용자 지정 매핑을 생성할 수 있습니다. 그런 다음 AWS IAM 권한 정책에서 태그를 참조하여 ABAC(속성 기반 액세스 제어)를 구현하고 AWS 리소스에 대한 액세스 권한을 관리할 수 있습니다. 예를 들어, 음악 스트리밍 애플리케이션이 있으며 사용자가 S3 버킷의 음악 파일을 듣는다고 가정해 보겠습니다. 다른 제공자는 제외하고 한 소셜 제공자(예: Google)로부터 연동된 사용자에게만 읽기 액세스 권한을 제공하려는 경우 토큰 발급자 속성을 Amazon Cognito 자격 증명 풀의 태그에 매핑할 수 있습니다. 그런 다음 AWS IAM 권한 정책에서 이 태그를 참조하여 작업을 허용 또는 거부할 수 있습니다. 그뿐 아니라 멤버십 속성을 AWS IAM 권한 정책의 조건문에 삽입하고 프리미엄 음악 파일에 관련 유료 회원 상태 태그를 지정하면 프리미엄 음악에 대한 읽기 액세스 권한을 유료 사용자로 제한할 수 있습니다. 일치하는 토큰 발급자 및 멤버십 속성을 가진 모든 신규 사용자는 추가 권한 업데이트 없이 자동으로 S3 버킷 및 프리미엄 음악에 액세스할 수 있게 됩니다. 이 릴리스는 비슷한 방식으로 직원 속성을 태그로 사용할 수 있도록 AWS SSO에 최근 출시된 ABAC 기능을 보완합니다.
Amazon Cognito 자격 증명 풀은 자격 증명 제공자에서 연동된 인증 사용자 및 게스트 사용자를 위한 일시적이며 제한적 권한을 가진 AWS 자격 증명을 제공합니다. 이러한 한정된 범위의 자격 증명은 AWS 리소스에 대한 액세스 권한을 관리할 수 있게 해 줍니다.