Amazon Verified Permissions Amazon Cognito Cognito-Identitätsquellen erstellen - Amazon Verified Permissions

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Verified Permissions Amazon Cognito Cognito-Identitätsquellen erstellen

Das folgende Verfahren fügt einem vorhandenen Richtlinienspeicher eine Identitätsquelle hinzu.

Sie können auch eine Identitätsquelle erstellen, wenn Sie in der Konsole Verified Permissions einen neuen Richtlinienspeicher erstellen. In diesem Prozess können Sie die Ansprüche in Ihren Identitätsquellen-Token automatisch in Entitätsattribute importieren. Wählen Sie die Option Geführte Einrichtung oder Einrichtung mit API Gateway und einem Identitätsanbieter. Mit diesen Optionen werden auch erste Richtlinien erstellt.

Anmerkung

Identitätsquellen sind im Navigationsbereich auf der linken Seite erst verfügbar, wenn Sie einen Richtlinienspeicher erstellt haben. Identitätsquellen, die Sie erstellen, sind dem aktuellen Richtlinienspeicher zugeordnet.

Sie können den Hauptentitätstyp weglassen, wenn Sie eine Identitätsquelle mit create-identity-sourcein der AWS CLI oder CreateIdentitySourcein der Verified Permissions API erstellen. Ein leerer Entitätstyp erstellt jedoch eine Identitätsquelle mit dem EntitätstypAWS::Cognito. Dieser Entitätsname ist nicht mit dem Richtlinienspeicherschema kompatibel. Um Amazon Cognito Cognito-Identitäten in Ihr Policy Store-Schema zu integrieren, müssen Sie den Prinzipal-Entitätstyp auf eine unterstützte Policy Store-Entität festlegen.

AWS Management Console
So erstellen Sie eine Identitätsquelle für Amazon Cognito Cognito-Benutzerpools

  1. Öffnen Sie die Konsole Verified Permissions. Wählen Sie Ihren Richtlinienspeicher aus.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Identitätsquellen aus.

  3. Wählen Sie Identitätsquelle erstellen aus.

  4. Wählen Sie in den Cognito-Benutzerpooldetails die Benutzerpool-ID für Ihre Identitätsquelle aus AWS-Region und geben Sie sie ein.

  5. Wählen Sie in der Prinzipalkonfiguration für Principal Type den Entitätstyp für Principals aus dieser Quelle aus. Identitäten aus den verbundenen Amazon Cognito Cognito-Benutzerpools werden dem ausgewählten Prinzipaltyp zugeordnet.

  6. Wählen Sie in der Gruppenkonfiguration die Option Cognito-Gruppe verwenden aus, wenn Sie den cognito:groups Benutzerpoolanspruch zuordnen möchten. Wählen Sie einen Entitätstyp, der dem Prinzipaltyp übergeordnet ist.

  7. Wählen Sie unter Validierung der Client-Anwendung aus, ob die Client-Anwendung validiert werden soll IDs.

    • Um die Client-Anwendung zu validieren IDs, wählen Sie Nur Tokens mit passender Client-Anwendung akzeptieren IDs. Wählen Sie Neue Client-Anwendungs-ID hinzufügen für jede zu validierende Client-Anwendungs-ID aus. Um eine hinzugefügte Client-Anwendungs-ID zu entfernen, klicken Sie neben der Client-Anwendungs-ID auf Entfernen.

    • Wählen Sie Client-Anwendung nicht validieren IDs, wenn Sie die Client-Anwendung nicht validieren möchten IDs.

  8. Wählen Sie Identitätsquelle erstellen aus.

  9. (Optional) Wenn Ihr Richtlinienspeicher über ein Schema verfügt, müssen Sie, bevor Sie in Ihren Cedar-Richtlinien auf Attribute verweisen können, die Sie aus Identitäts- oder Zugriffstoken extrahieren, Ihr Schema aktualisieren, damit Cedar weiß, welche Art von Prinzipal Ihre Identitätsquelle erstellt. Diese Ergänzung zum Schema muss die Attribute enthalten, auf die Sie in Ihren Cedar-Richtlinien verweisen möchten. Weitere Informationen zur Zuordnung von Amazon Cognito-Tokenattributen zu Cedar-Hauptattributen finden Sie unterZuordnen Amazon Cognito Cognito-Token zum Schema.

    Anmerkung

    Wenn Sie einen API-verknüpften Richtlinienspeicher erstellen oder beim Erstellen von Richtlinienspeichern die Option Setup with API Gateway und Identity Provider verwenden, fragt Verified Permissions Ihren Benutzerpool nach Benutzerattributen ab und erstellt ein Schema, in dem Ihr Prinzipaltyp mit Benutzerpoolattributen gefüllt wird.

  10. Erstellen Sie Richtlinien, die Informationen aus den Tokens verwenden, um Autorisierungsentscheidungen zu treffen. Weitere Informationen finden Sie unter Statische Richtlinien für Amazon Verified Permissions erstellen.

Nachdem Sie nun eine Identitätsquelle erstellt, das Schema aktualisiert und Richtlinien erstellt haben, lassen Sie zunächst IsAuthorizedWithToken Verifizierte Berechtigungen Autorisierungsentscheidungen treffen. Weitere Informationen finden Sie IsAuthorizedWithTokenim Referenzhandbuch zur Amazon Verified Permissions API.

AWS CLI
So erstellen Sie eine Identitätsquelle für Amazon Cognito Cognito-Benutzerpools

Sie können mithilfe des CreateIdentitySourceVorgangs eine Identitätsquelle erstellen. Das folgende Beispiel erstellt eine Identitätsquelle, die auf authentifizierte Identitäten aus einem Amazon Cognito Cognito-Benutzerpool zugreifen kann.

  1. Erstellen Sie eine config.txt Datei, die die folgenden Details des Amazon Cognito Cognito-Benutzerpools zur Verwendung durch den --configuration Parameter im create-identity-source Befehl enthält.

    {
    "cognitoUserPoolConfiguration": {
        "userPoolArn": "arn:aws:cognito-idp:us-west-2:123456789012:userpool/us-west-2_1a2b3c4d5",
        "clientIds":["a1b2c3d4e5f6g7h8i9j0kalbmc"],
        "groupConfiguration": {
              "groupEntityType": "MyCorp::UserGroup"
        }
    }
}

  2. Führen Sie den folgenden Befehl aus, um eine Amazon Cognito Cognito-Identitätsquelle zu erstellen.

    $ aws verifiedpermissions create-identity-source \
    --configuration file://config.txt \
    --principal-entity-type "User" \
    --policy-store-id 123456789012
{
    "createdDate": "2023-05-19T20:30:28.214829+00:00",
    "identitySourceId": "ISEXAMPLEabcdefg111111",
    "lastUpdatedDate": "2023-05-19T20:30:28.214829+00:00",
    "policyStoreId": "PSEXAMPLEabcdefg111111"
}

  3. (Optional) Wenn Ihr Richtlinienspeicher über ein Schema verfügt, müssen Sie, bevor Sie in Ihren Cedar-Richtlinien auf Attribute verweisen können, die Sie aus Identitäts- oder Zugriffstoken extrahieren, Ihr Schema aktualisieren, damit Cedar weiß, welche Art von Prinzipal Ihre Identitätsquelle erstellt. Diese Ergänzung zum Schema muss die Attribute enthalten, auf die Sie in Ihren Cedar-Richtlinien verweisen möchten. Weitere Informationen zur Zuordnung von Amazon Cognito-Tokenattributen zu Cedar-Hauptattributen finden Sie unterZuordnen Amazon Cognito Cognito-Token zum Schema.

    Anmerkung

    Wenn Sie einen API-verknüpften Richtlinienspeicher erstellen oder beim Erstellen von Richtlinienspeichern die Option Setup with API Gateway und Identity Provider verwenden, fragt Verified Permissions Ihren Benutzerpool nach Benutzerattributen ab und erstellt ein Schema, in dem Ihr Prinzipaltyp mit Benutzerpoolattributen gefüllt wird.

  4. Erstellen Sie Richtlinien, die Informationen aus den Tokens verwenden, um Autorisierungsentscheidungen zu treffen. Weitere Informationen finden Sie unter Statische Richtlinien für Amazon Verified Permissions erstellen.

Nachdem Sie nun eine Identitätsquelle erstellt, das Schema aktualisiert und Richtlinien erstellt haben, lassen Sie zunächst IsAuthorizedWithToken Verifizierte Berechtigungen Autorisierungsentscheidungen treffen. Weitere Informationen finden Sie IsAuthorizedWithTokenim Referenzhandbuch zur Amazon Verified Permissions API.

Weitere Informationen zur Verwendung von Zugriffs- und Identitätstoken von Amazon Cognito für authentifizierte Benutzer in Verified Permissions finden Sie unter Authorization with Amazon Verified Permissions im Amazon Cognito Developer Guide.