Utilisation d'attributs pour le contrôle d'accès

Les attributs pour le contrôle d'accès sont l'implémentation du contrôle d'accès basé sur les attributs () dans les pools d'identités Amazon Cognito. ABAC Vous pouvez utiliser des IAM politiques pour contrôler l'accès aux AWS ressources via les pools d'identités Amazon Cognito en fonction des attributs des utilisateurs. Ces attributs peuvent être tirés de fournisseurs d'identités sociale et d'entreprise. Vous pouvez associer les attributs des jetons ou SAML assertions d'accès et d'identification des fournisseurs à des balises pouvant être référencées dans les IAM politiques d'autorisation.

Vous pouvez choisir des mappages par défaut ou créer vos propres mappages personnalisés dans des groupes d'identités Amazon Cognito. Les mappages par défaut vous permettent d'écrire IAM des politiques basées sur un ensemble fixe d'attributs utilisateur. Les mappages personnalisés vous permettent de sélectionner un ensemble personnalisé d'attributs utilisateur référencés dans les politiques IAM d'autorisation. Les noms d'attributs dans la console Amazon Cognito sont mappés à la clé Tag pour le principal, qui sont les balises référencées dans la IAM politique d'autorisation.

Par exemple, supposons que vous disposez d'un service de streaming multimédia avec des formules d'adhésion gratuite et payante. Vous stockez les fichiers multimédias dans Amazon S3 et les étiquetez avec des étiquettes Free ou Premium. Vous pouvez utiliser des attributs pour le contrôle d'accès afin d'autoriser l'accès au contenu gratuit et payant en fonction du niveau d'adhésion de l'utilisateur spécifié dans le profil de ce dernier. Vous pouvez associer l'attribut membership à une clé de balise pour que le principal soit transmis à la politique IAM d'autorisation. Vous pouvez ainsi créer une stratégie d'autorisations uniques et autoriser conditionnellement l'accès au contenu premium en fonction de la valeur du niveau d'adhésion et de l'étiquette sur les fichiers de contenu.

Rubriques

L'utilisation d'attributs pour contrôler l'accès présente plusieurs avantages :

La gestion des autorisations est plus efficace lorsque vous utilisez des attributs pour le contrôle d'accès. Vous pouvez créer une stratégie d'autorisations de base qui utilise des attributs utilisateur au lieu de créer plusieurs stratégies pour différentes fonctions professionnelles.
Vous n'avez pas besoin de mettre à jour vos stratégies chaque fois que vous ajoutez ou supprimez des ressources ou des utilisateurs pour votre application. La stratégie d'autorisations n'accorde l'accès qu'aux utilisateurs titulaires des attributs utilisateur appropriés. Par exemple, il se peut que vous deviez contrôler l'accès à certains compartiments S3 en fonction du titre professionnel des utilisateurs. Dans ce cas, vous pouvez créer une stratégie d'autorisations afin de n'autoriser l'accès à ces fichiers qu'aux utilisateurs titulaires du titre professionnel défini. Pour plus d'informations, consultez IAMTutoriel : Utiliser des balises de SAML session pour ABAC.
Les attributs peuvent être transmis en tant qu'étiquettes de mandataires à une stratégie qui autorise ou refuse des autorisations en fonction des valeurs de ces attributs.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques de sécurité

Utilisation d'attributs pour le contrôle d'accès avec les groupes d'identités Amazon Cognito