翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセスコントロールへの属性の使用

アクセスコントロールの属性は、属性ベースのアクセスコントロール () の Amazon Cognito ID プール実装ですABAC。IAM ポリシーを使用して、ユーザー属性に基づいて Amazon Cognito ID プールを介してリソースへのアクセス AWS を制御できます。これらの属性は、ソーシャル ID プロバイダーおよび企業 ID プロバイダーから収集できます。プロバイダーのアクセスおよび ID トークンまたはSAMLアサーション内の属性を、IAMアクセス許可ポリシーで参照できるタグにマッピングできます。

Amazon Cognito ID プールでは、デフォルトのマッピングを選択する、または独自のカスタムマッピングを作成することが可能です。デフォルトのマッピングでは、固定されたユーザー属性のセットに基づいてIAMポリシーを記述できます。カスタムマッピングを使用すると、IAMアクセス許可ポリシーで参照されているユーザー属性のカスタムセットを選択できます。Amazon Cognito コンソールの属性名は、アクセスIAM許可ポリシーで参照されているタグであるプリンシパルのタグキーにマッピングされます。

例えば、無料と有料のメンバーシップがあるメディアストリーミングサービスを所有しているとしましょう。メディアファイルを Amazon S3 に保存し、無料タグまたはプレミアムタグでそれらをタグ付けします。アクセスコントロールの属性を使用して、ユーザーのプロファイルの一部であるユーザーメンバーシップレベルに基づいて、無料コンテンツと有料コンテンツへのアクセスを許可できます。メンバーシップ属性をタグキーにマッピングして、プリンシパルをIAMアクセス許可ポリシーに渡すことができます。そうすることで、単一の許可ポリシーを作成し、メンバーシップレベルの値とコンテンツファイルのタグに基づいて、プレミアムコンテンツへのアクセスを条件的に許可することができます。

属性を使用したアクセスの制御には、いくつかのメリットがあります。

Amazon Cognito の ID プールを用いたアクセスコントロールへの属性の使用

アクセスコントロールに属性を使用する前に、以下の前提条件を満たしていることを確認します。

アクセスコントロールに属性を使用するには、データソースとして設定したクレームによって、選択したタグキーの値が設定されます。Amazon Cognito はタグキーと値をユーザーのセッションに適用します。IAM ポリシーは、 ${aws:PrincipalTag/tagkey}条件からのユーザーのアクセスを評価できます。IAM は、ポリシーに対してユーザーのタグの値を評価します。

認証情報をユーザーに渡すIAMロールを準備する必要があります。これらのロールの信頼ポリシーで、Amazon Cognito がユーザーのロールを引き継ぐことを許可されている必要があります。アクセスコントロール用の属性については、Amazon Cognito がユーザーの一時セッションにプリンシパルタグを適用することも許可しなければなりません。アクション でロールを引き受けるアクセス許可を付与しますAssumeRoleWithWebIdentity。権限のみのアクション sts:TagSession を使って、ユーザーのセッションにタグを付ける権限を付与します。詳細については、「AWS Identity and Access Management  ユーザーガイド」の「 AWS Security Token Service でのタグ付けの規則」を参照してください。たとえば、sts:AssumeRoleWithWebIdentity とsts:TagSession 権限をAmazon Cognito サービスプリンシパル cognito-identity.amazonaws.com に付与する信頼ポリシーの例については、「アクセスコントロールポリシーへの属性の使用例」を参照してください。

アクセスコントロールポリシーへの属性の使用例

ある企業の法務部門の従業員が、その部門に属しており、セキュリティレベルで分類されているバケット内のすべてのファイルをリストする必要があるというシナリオを考えてみましょう。この従業員が ID プロバイダーから取得するトークンには、以下のクレームが含まれているとします。

クレーム

            { .
              .
            "sub" : "57e7b692-4f66-480d-98b8-45a6729b4c88",
            "department" : "legal",
            "clearance" : "confidential",
             .
             .
            }
        

これらの属性はタグにマッピングし、アクセスIAM許可ポリシーでプリンシパルタグとして参照できます。これで、ID プロバイダー側でユーザープロファイルを変更することによって、アクセスを管理できるようになります。または、ポリシー自体を変更せずに、名前またはタグを使用することによって、リソース側の属性を変更することもできます。

以下の許可ポリシーは、以下の 2 つを行います。

アクセス許可ポリシー

   {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:List*",
            "Resource": "arn:aws:s3:::*-${aws:PrincipalTag/department}"
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObject*",
            "Resource": "arn:aws:s3:::*-${aws:PrincipalTag/department}/*",
            "Condition": {
                "StringEquals": {
                    "s3:ExistingObjectTag/clearance": "${aws:PrincipalTag/clearance}"
                }
            }
        }
    ]
}

信頼ポリシーは、誰がこのロールを引き受けられるのかを決定します。信頼関係ポリシーは、アクセスを許可するための sts:AssumeRoleWithWebIdentity と sts:TagSession の使用を可能にします。これは、ポリシーをユーザーが作成したアイデンティティプールに制限する条件を追加し、それが認証されたロール用であることを確実にします。

信頼ポリシー

            
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "cognito-identity.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRoleWithWebIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "cognito-identity.amazonaws.com:aud": "IDENTITY-POOL-ID"
        },
        "ForAnyValue:StringLike": {
          "cognito-identity.amazonaws.com:amr": "authenticated"
        }
      }
    }
  ]
}
            

アクセスコントロールの属性をオフにする (コンソール)

アクセスコントロールの属性を非アクティブにするには、以下の手順に従います。

デフォルトのプロバイダーマッピング

以下の表には、Amazon Cognito がサポートする認証プロバイダーのデフォルトマッピング情報が記載されています。