Publicado: Jan 14, 2021
O Amazon Cognito Identity Pools agora permite o uso de atributos oriundos de provedores de identidade sociais e empresariais para tomar decisões de controle de acesso e simplificar o gerenciamento de permissões para recursos da AWS.
No Amazon Cognito, é possível escolher mapeamentos predefinidos de tags de atributo ou criar mapeamentos personalizados com atributos oriundos de tokens de ID/acesso de provedores sociais e empresariais ou asserções SAML. É possível então fazer referência às tags na política de permissões do AWS IAM para implementar o attribute-based access control (ABAC – controle de acesso baseado em atributos) e gerenciar o acesso aos seus recursos da AWS. Por exemplo, você tem uma aplicação de streaming de música e permite que os usuários ouçam arquivos de música em um bucket do S3. Se você deseja conceder acesso de leitura apenas a usuários federados de um provedor social (ou seja, Google) em vez de outros provedores, é possível mapear o atributo do emissor do token para uma tag no Amazon Cognito Identity Pools. É possível então fazer referência a essa tag na política de permissões do AWS IAM para permitir ou negar ações. É possível restringir ainda mais o acesso de leitura a músicas premium para usuários pagos, colocando o atributo de associação na declaração de condição na política de permissões do AWS IAM, e marcar esses arquivos com o status de membro pagante correspondente. Todos os usuários novos com o emissor de token correspondente e os atributos de associação receberão automaticamente acesso ao bucket do S3 e às músicas premium sem precisar de outra atualização de permissões. Esta versão complementa o recém-lançado recurso ABAC do AWS SSO, que permite usar atributos de funcionários como tags de maneira semelhante.
O Amazon Cognito Identity Pools oferece credenciais da AWS temporárias e de privilégio limitado para usuários autenticados e convidados federados oriundos de provedores de identidade. Essas credenciais com escopo permitem gerenciar as permissões de acesso aos recursos da AWS.
Este recurso está disponível por meio do console do Cognito Identity Pools, do AWS SDK e da CLI da AWS em todas as regiões em que o Amazon Cognito opera. Para ver uma lista das regiões em que o Amazon Cognito está disponível, consulte a Tabela de regiões da AWS. Saiba mais sobre o Amazon Cognito visitando o Guia do desenvolvedor e comece a usá-lo em nossa página da Web.