アプリケーションデベロッパーがアプリケーションにウェブ ID フェデレーションを使用する場合、次のステップに従います。
-
開発者としてサードパーティーの ID プロバイダーにサインアップします。次の外部リンクには、サポートされる ID プロバイダーへのサインアップに関する情報が記載されています。
-
Facebook サイトの登録
-
Google サイトの OAuth 2.0 を使用して Google API にアクセスする
-
アプリケーションを ID プロバイダーに登録します。登録すると、プロバイダーからアプリケーションに固有の ID が提供されます。複数のアイデンティティプロバイダーで機能するようにアプリケーションを構築する場合は、各プロバイダーからアプリケーション ID を取得する必要があります。
-
1 つ以上の IAM ロールを作成します。各アプリケーションのアイデンティティプロバイダーごとに 1 つのロールが必要です。たとえば、ユーザーが Login with Amazon を使用してサインインするアプリケーションで想定できるロール、ユーザーが Facebook を使用してサインインする同じアプリケーションの 2 つ目のロール、およびユーザーが Google を使用してサインインするアプリケーションの 3 つ目のロールを作成します。
ロール作成プロセスの中で、 ポリシーをロールにアタッチする必要があります。ポリシードキュメントでは、アプリケーションに必要な DynamoDB リソース、およびそれらのリソースにアクセスするための許可を定義する必要があります。
詳細については、IAM ユーザーガイドのウェブ ID フェデレーションについてを参照してください。
注記
AWS Security Token Service の代わりに、Amazon Cognito を使用できます。Amazon Cognito は、モバイルアプリケーションの一時的な認証情報を管理するためのおすすめサービスです。詳細については、Amazon Cognito 開発者ガイド」の「認証情報の取得」を参照してください。
DynamoDB コンソールを使用して IAM ポリシーを生成する
DynamoDB コンソールでは、ウェブ ID フェデレーションで使用する IAM ポリシーを作成できます。作成するには、DynamoDB テーブルを選択し、ポリシーに含まれるアイデンティティプロバイダー、アクション、および属性を指定します。DynamoDB コンソールによって、IAM ロールにアタッチすることができるポリシーが生成されます。
AWS Management Console マネジメントコンソールにサインインして DynamoDB コンソール (https://console.aws.amazon.com/dynamodb/
) を開きます。 -
ナビゲーションペインで、[Tables (テーブル)] を選択します。
-
テーブルの一覧で、IAM ポリシーを作成するテーブルを選択します。
-
[アクション] ボタン、[アクセス制御ポリシーの作成] の順に選択します。
-
ポリシーの ID プロバイダー、アクション、および属性を選択します。
すべての設定が正しいことを確認したら、[ポリシーの生成] を選択します。生成されたポリシーが表示されます。
-
[ドキュメンテーションを参照] を選択し、生成されたポリシーを IAM ロールにアタッチするために必要な手順に従います。